「WordPress」のサイトを閲覧するだけで感染するランサムウェアが「Joomla」にも拡大

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 村上雅章 野崎裕子

2016-02-24 06:00

 ウェブページを閲覧するだけで、ユーザーの使用しているコンピュータにランサムウェアをインストールするという新手のマルウェアが、コンテンツ管理システム(CMS)「WordPress」を使用しているウェブサイトだけでなく、「Joomla」を使用しているウェブサイトでも確認された。この攻撃ベクタの拡大は、マルウェアの不穏な進化を象徴している。

 Rackspaceのセキュリティ研究者であり、Internet Storm CenterのコントリビューターでもあるBrad Duncan氏によると、「admedia」と名付けられたこの攻撃キャンペーンは従来の標的であったWordPressから、脆弱性を抱えたJoomlaへと拡大してきているという。

 Securi Labsは1月、「WordPress使用サイトでの感染事例が急増」し、ウェブサイト上のJavaScript(.js)ファイルが改変されているという事実を公表した。一連の状況を分析した結果、JavaScriptに感染する「admedia iframe injection」というこのマルウェアは、複数のバックドアをインストールするだけでなく、感染したWordPressサイト上に悪意のあるadmediaドメインを生成し、そこを経由することでユーザーに悟られないよう、「TeslaCrypt」というランサムウェアが組み込まれたエクスプロイトキットサーバにアクセスさせるという事実が明らかになった。

 ランサムウェアは、マルウェアのなかで特にたちが悪く、壊滅的な打撃を及ぼす可能性もある。こういったマルウェアには「WinLocker」やTeslaCrypt、「CoinVault」など、さまざまな種類があるが、いずれもユーザーから金銭を巻き上げようとするという共通点がある。

 ランサムウェアはいったんユーザーのPCに感染すると(たいていの場合はフィッシングキャンペーンや悪意のあるダウンロードサイトによる)、PCをロックし、ファイルを暗号化した後、ユーザーコンテンツを復号するための鍵との引き替えとして、仮想通貨での身代金支払いを要求する。

 サイバーセキュリティを手がける企業は無料でファイルを復号化するソフトウェアを開発しようと取り組んでいるが、マルウェアの頻繁なアップデートとともに、さまざまな系列のマルウェアの恒常的な進化、拡散という現状の前に苦戦している。

 TeslaCryptというランサムウェアは今や、脆弱性を抱えたWordPressを使用しているサイトだけではなく、Joomlaを使用しているサイトでも見つかっている。Duncan氏が先週語ったところによると、2016年初めに公表された最初のレポートでは、エクスプロイトキットが格納されたサーバへの橋渡しをするURL(ゲート)の中に「admedia」という文字列が使われていると報告されていたものの、その後「megaadvertize」という文字列も使用されるようになり、ランサムウェアを保持するエクスプロイトキットも一部のケースでは「Nuclear Exploit Kit」(Nuclear EK)から「Angler Exploit Kit」(Angler EK)に切り替えられているという。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]