2017-02-05
2月初めの複数の国内サイトの改ざんについてまとめてみた
2月4日から複数のサイトが改ざんされる被害が発生しています。被害を受けたサイトの多くはWordPressで構築されているとみられ、Sucuriが2月1日に公開した脆弱性情報との関連が疑われます。ここでは改ざんの状況、脆弱性情報についてまとめます。
改ざん被害はWordPressに集中
2月4日22時頃よりZone-Hへ投稿される改ざん被害を受けたサイトの件数が増えているようです。
確認した改ざん事例では次のような「Hacked by〜」のような書き込みが行われていました。
事例(1) hacked by NG689Skw
事例(2) Hacked By SA3D HaCk3D / HaCkeD By MuhmadEmad
被害件数は200サイト超か
JPドメイン Web改竄速報 botさんがZone-Hへ投稿されるJPドメインの改ざんサイト件数の推移について投稿しています。
2017/02/04 22時台から多数報告されている改ざんの情報はこれまでに 166件(手元での集計)となっています。
— JPドメイン Web改竄速報 bot (@def_jp) 2017年2月5日
時間帯別の集計は以下の通りです。 pic.twitter.com/Xv4cN34wXF
JPドメイン Web改竄速報 botさんの調査結果は「JPドメイン Web改竄速報」で公開されています。
「JPドメイン Web改竄速報」に公開されている情報を参考に改ざん被害を受けたサイトについて確認しました。
以下は2月6日 1時現在の状況です。
Zone-Hに投稿されたJPドメインのサイトの内、METAタグやURL等よりWordPressで構築されたとみられるWebサイトの件数は185件確認できました。
またWordPressのバージョンは、不明分を除けば、4.7.0、4.7.1のいずれか*1と見られます。
改ざんは国内外で発生
Zone-Hへの投稿状況を見ると、同投稿者からは日本に限らず様々な国のサイトが投稿されています。
同時期に改ざん被害の報道も
また関連不明ですが、Zone-Hに投稿されたサイトの他にも同時期に改ざんされたとして報道が出ています。
- 福島原発の復興情報HP改ざん被害、不正アクセスか,日刊スポーツ,2017年2月6日アクセス:魚拓
被害を受けたサイトのGoogleのキャッシュを確認したところ、2月5日時点でWordPress 4.7.0が使用されていたようです。
この他にも次のサイトが改ざんの被害を受けたとして報道されています。
東京五輪・パラリンピック担当大臣公式サイトも被害
丸川珠代五輪担当大臣の公式サイトも改ざん被害を受けています。既に改ざんされたコンテンツは削除され、取材に対しても被害事実を認めるコメントをしているものの、被害を受けた公式サイト上でのアナウンス(改ざん被害を受けた原因など)は現在のところ確認できませんでした。*6
WordPressのコンテンツインジェクションの脆弱性
改ざんされた多くのサイトに共通するWordPress 4.7.0/4.7.1ですが、2月1日にSucuriがWordPressにコンテンツインジェクションが可能な脆弱性が4.7.0、4.7.1に存在し、1月26日公開された4.7.2でこれが修正されたことを2月1日に明らかにしています。
被害を受けたサイトの状況とタイミングから見てこの脆弱性が悪用された可能性があります。
脆弱性の影響
影響を受けるバージョン
- WordPress 4.7.0、または4.7.1
対策
また4.7.0以降実装されたREST APIを無効化するプラグインも存在するようです。(REST APIを無効化することで脆弱性の影響を受けなくなるかはpiyokangoは検証していません。)
- WordPress4.7より追加されたREST API エンドポイントを無効にする | サイトスパイラル(Sitespiral)
- WordPress REST APIを無効にするプラグイン | 左坊のメモ帳
脆弱性タイムライン
日付 | 出来事 |
---|---|
2016年12月6日 | WordPress 4.7.0(Vaughan)がリリース。REST APIがこのバージョンより実装。 |
2017年1月20日 | SucuriがWordPressへ脆弱性情報を通知。 |
2017年1月25日まで | WordPressのホスティングサービス等で当該脆弱性を悪用された痕跡は確認されず。 |
2017年1月26日 | 脆弱性を修正したWordPress 4.7.2が公開。 |
2017年2月1日 | SucuriがWordPressのコンテンツインジェクションの脆弱性について脆弱性情報を公開。 |
2017年2月4日22時頃より | 複数のサイトで改ざん被害が発生。 |
2017年2月6日 | IPA、JPCERT/CCが脆弱性の注意喚起を掲載。 |
WordPress.Org
- WordPress 4.7 “Vaughan”
- WordPress 4.7.2 Security Release
- Disclosure of Additional Security Fix in WordPress 4.7.2
Sucuri
注意喚起
脆弱性の検証レポート
- WordPressにおけるコンテンツインジェクションの脆弱性に関する調査レポート - 脆弱性調査レポート (ソフトバンク・テクノロジー)
- WordPress 4.7.1 の権限昇格脆弱性について検証した | 徳丸浩の日記
- WordPress Web API Vulnerability - The Akamai Blog
Exploit Code /PoC
Python版
- https://www.exploit-db.com/exploits/41223/
- https://gist.github.com/budanthara/1fdecf01496a4d27178274a4bacd277a