2月4日から複数のサイトが改ざんされる被害が発生しています。被害を受けたサイトの多くはWordPressで構築されているとみられ、Sucuriが2月1日に公開した脆弱性情報との関連が疑われます。ここでは改ざんの状況、脆弱性情報についてまとめます。
改ざん被害はWordPressに集中
2月4日11時頃よりZone-Hへ投稿される改ざん被害を受けたサイトの件数が増えているようです。
確認した改ざん事例では次のような「Hacked by〜」のような書き込みが行われていました。
事例(8) Hacked By BALA SNIPER
被害件数は700サイト超
JPドメイン Web改竄速報 botさんがZone-Hへ投稿されるJPドメインの改ざんサイト件数の推移について投稿しています。
2017/02/04 22時台から多数報告されている改ざんの情報はこれまでに 166件(手元での集計)となっています。
— JPドメイン Web改竄速報 bot (@def_jp) 2017年2月5日
時間帯別の集計は以下の通りです。 pic.twitter.com/Xv4cN34wXF
JPドメイン Web改竄速報 botさんの調査結果は「JPドメイン Web改竄速報」で公開されています。
「JPドメイン Web改竄速報」に公開されている情報を参考に改ざん被害を受けたサイトについて確認しました。
以下は2月6日 1時現在の状況です。
Zone-Hに投稿されたJPドメインのサイトの内、METAタグやURL等よりWordPressで構築されたとみられるWebサイトの件数は185件確認できました。
改ざん被害の報道
また関連不明ですが、Zone-Hに投稿されたサイトの他にも同時期に改ざんされたとして報道が出ています。
- 福島原発の復興情報HP改ざん被害、不正アクセスか,日刊スポーツ,2017年2月6日アクセス:魚拓
被害を受けたサイトのGoogleのキャッシュを確認したところ、2月5日時点でWordPress 4.7.0が使用されていたようです。
この他にも次のサイトが改ざんの被害を受けたとして報道されています。
- ふくしま 新発売。 *2
- 秩父観光なび *3
- 宮城県教育情報システムみやぎSWAN II *4
- 福井県立病院 *5
- 富岡製糸場と絹産業遺産群 (群馬県) *6
- ゆくゆく ゆくはし (行橋市) *7
- 福井県自然保護センター *8
- 第50回アジア開発銀行年次総会 2017 (横浜市) *9
東京五輪・パラリンピック担当大臣公式サイトも被害
丸川珠代五輪担当大臣の公式サイトも改ざん被害を受けています。既に改ざんされたコンテンツは削除され、取材に対しても被害事実を認めるコメントをしているものの、被害を受けた公式サイト上でのアナウンス(改ざん被害を受けた原因など)は現在のところ確認できませんでした。*10
改ざん被害に対するお知らせ
- 新潟青陵大学 本学公式ホームページ改ざんに関するご報告 (魚拓)
- 日本小児循環器学会 [PDF] 学会HPへの不正アクセスに関するご報告 (平成29年2月6日)
- 東京家政学院大学 ホームページ一時公開停止についてのご報告 (魚拓)
- 日本体育学会 不正アクセスによるHPのサーバ停止のお詫びと復旧のお知らせ (魚拓)
- WordPressの更新を怠ってブログを改竄されました | ねんざブログ
- WordPress 4.7.0および4.7.1のREST APIの脆弱性について | KEI SAKAKI's PAGE.
- ハッキング被害に遭いました | 海外販売をしよう!
- WordPressで作成した放置ブログが記事の改ざん被害にあっていた - Zバッファ
WordPressのコンテンツインジェクションの脆弱性
改ざんされた多くのサイトに共通するWordPress 4.7.0/4.7.1ですが、2月1日にSucuriがWordPressにコンテンツインジェクションが可能な脆弱性が4.7.0、4.7.1に存在し、1月26日公開された4.7.2でこれが修正されたことを2月1日に明らかにしています。
被害を受けたサイトの状況とタイミングから見てこの脆弱性が悪用された可能性があります。
影響を受けるバージョン
- WordPress 4.7.0、または4.7.1
脆弱性タイムライン
日付 | 出来事 |
---|---|
2016年12月6日 | WordPress 4.7.0(Vaughan)がリリース。REST APIがこのバージョンより実装。 |
2017年1月20日 | SucuriがWordPressへ脆弱性情報を通知。 |
2017年1月25日まで | WordPressのホスティングサービス等で当該脆弱性を悪用された痕跡は確認されず。 |
2017年1月26日 | 脆弱性を修正したWordPress 4.7.2が公開。 |
2017年2月1日 | SucuriがWordPressのコンテンツインジェクションの脆弱性について脆弱性情報を公開。 |
2017年2月3日8時半時頃より | 複数のサイトで改ざん被害が発生。 |
2017年2月6日 | IPA、JPCERT/CCが脆弱性の注意喚起を掲載。 |
WordPress.Org
注意喚起
脆弱性の検証レポート
- WordPressにおけるコンテンツインジェクションの脆弱性に関する調査レポート - 脆弱性調査レポート (ソフトバンク・テクノロジー)
- WordPress 4.7.1 の権限昇格脆弱性について検証した | 徳丸浩の日記
- WordPress Web API Vulnerability - The Akamai Blog
- WP4.7 のREST APIの深刻なバグについて ~検証環境~ | ぴんくいろにっき
- WordPress 4.7 のREST API脆弱性がコンテンツインジェクションで済んだわけ | ぴんくいろにっき
- WordPress 4.7/4.7.1 の Content Injection の脆弱性を確認する - 社会人から始めるペネトレーションテスト
- HACKING WORDPRESS 4.7.0-1 EXPLOITING THE EXPLOITABLE
攻撃の観測
WordPress 関連の活動状況
— uɐdɐɾ_ʞɔɐɥ (@hack_japan) 2017年2月14日
もう少し見やすくしてみました。 pic.twitter.com/z5bQZBftfH
- WordPress REST API Vulnerability Abused in Defacement Campaigns
- RCE Attempts Against the Latest WordPress REST API Vulnerability
- 100,000+ WordPress webpages defaced as recently patched vulnerability is exploited
- 2017/02/01 以降に Zone-h に報告された、「JPドメイン」で「WordPress」に関連すると思われる事例
- A Feeding Frenzy to Deface WordPress Sites
- Rapid Growth in Defacements, Who was Hit, Who is Attacking
その他
Exploit Code /PoC
更新履歴
- 2017年2月6日 AM 新規作成
- 2017年2月6日 AM 続報追記、誤植訂正
- 2017年2月6日 PM 注意喚起を追記
- 2017年2月6日 PM 関連報道を追記
- 2017年2月8日 AM 脆弱性への対策、関連情報を追記
- 2017年2月8日 AM 関連情報、タイムラインを追記
- 2017年2月8日 PM タイムラインを修正
- 2017年2月9日 AM 報道情報を追記
- 2017年2月10日 PM 改ざん事例、お知らせを追記
*2:不正アクセスで福島県のHP「改ざん」被害 ブログを書き換え,福島民友,2017年2月6日アクセス:魚拓
*3:イスラム国中傷に書き換え 秩父の観光HP改竄 不正アクセスか,産経ニュース,2017年2月6日アクセス:魚拓
*4:県教委ホームページ一部改ざん,NHK,2017年2月6日アクセス:魚拓
*5:福井県立病院ホームページ改ざん 「患者の情報漏えいなし」 ,福井新聞,2017年2月6日アクセス:魚拓
*6:群馬県HPにサイバー攻撃 一部改竄も情報漏洩なし,産経ニュース,2017年2月8日アクセス:魚拓
*7:行橋市 観光サイト、改ざんされ閉鎖 /福岡,毎日新聞,2017年2月9日アクセス
*8:自然保護センターHPでも改ざん 情報流出やウイルス感染なし,福井新聞,2017年2月9日アクセス:魚拓
*9:横浜市のサイトにクルド人勢力の旗 サイバー攻撃受ける,朝日新聞,2017年2月10日アクセス:魚拓
*10:丸川五輪相HPに謎のメッセージ ハッキング被害急増,朝日新聞,2017年2月6日アクセス:魚拓