熊本競輪でサイト改ざん - 原因はWPプラグイン「FancyBox」の脆弱性

熊本市が運営する熊本競輪のウェブサイトが不正アクセスを受け、改ざんされていたことがわかった。WordPressプラグインにおける既知の脆弱性が攻撃を受けたという。

同市によれば、脆弱性を狙った不正アクセスが2月19日にあり、サイトの改ざんが発生。関係ない外部サイトのデータを読み込む状態だった。期間中に967人がアクセスしているが、すでに読み込まれる外部サイトは閉鎖されており、具体的な影響はわかっていない。被害の報告などは寄せられていないが、閲覧によってマルウェアなどへ感染している可能性もある。

今回脆弱性が突かれたのは、同サイトでコンテンツマネージメントシステム（CMS）として利用しているWordPressで活用していたプラグインの「FancyBox」。同プラグインは、コンテンツやスクリプトが挿入される深刻な脆弱性「CVE-2015-1494」が存在。ゼロデイ攻撃による改ざん被害が2月に入って判明し、2月4日に修正版がリリースされている。

同市は、脆弱性への対応が遅れたことが原因のひとつであると説明。修正した上で、23日19時過ぎよりウェブサイトを再開している。

（Security NEXT - 2015/02/25 ） ツイート

PR

関連記事

WordPressの人気プラグイン「FancyBox」に深刻な脆弱性
SEO関連サービスに不正アクセス - Amazonのアカウント狙うフィッシングの踏み台に
深刻な脆弱性を修正した「WordPress 4.0.1」が公開 - 旧版利用者も注意を
通販サイトでカード情報2万2000件が流出 - セキュリティコードも
JP-Secure、WordPress用無料プラグインを公開 - 不正ログイン対策など提供
WordPressや顧客情報保有サイトが標的に
複数のバグを修正した「WordPress 4.0」が公開
WordPressの脆弱性診断サービスに月1回無料の診断メニュー
WordPress向けメルマガプラグインに脆弱性
2014年2QのDDoS攻撃は前四半期から減少傾向 - 一方で巧妙な攻撃も