Subscribed unsubscribe Subscribe Subscribe

WordPressを狙った大規模な攻撃

Incident Password CMS

一昨日あたりから WordPressを狙う大規模な攻撃が世界中で観測されていて、セキュリティベンダやホスティング事業者などが注意を呼び掛けています。*1


攻撃の概要をまとめると、こんな感じです。

  • WordPressに対して無差別に行われている
  • 'admin' 等のアカウントに対する辞書攻撃が行われている
  • 攻撃元として 9万から 10万の IPアドレスが確認されており、攻撃者は Botnetを利用していると思われる
  • 不正にログインされると、バックドアなどのスクリプトがアップロードされる


対策について、WordPress開発者(ファウンダ)の一人である Matt Mullenwegもコメントしていますが、次の 2つはすぐにやったほうがいいでしょう。

  1. admin という管理者ユーザ名を変更すること *2
  2. 簡単に推測できない強力なパスワードを設定すること

またすでに不正にログインされてしまった可能性もあります。adminユーザに弱いパスワードを設定していたなど心当たりのある方は、見覚えのないユーザやファイルが追加されていないか確認したほうがいいでしょう。


さて攻撃の内容については Sucuriの記事が比較的詳しく、狙われているユーザ名やパスワード、攻撃元の IPアドレスの情報なども載っています。以下の表は Sucuriのデータを元に作成したものです。

試行されているユーザ名 Top 5 と試行回数

ユーザ名 試行回数
admin 652,911
test 10,173
administrator 8,992
Admin 8,921
root 2,495

試行されているパスワード Top 5 と試行回数

パスワード 試行回数
admin 16,798
123456 10,880
666666 9,727
111111 9,106
12345678 7,882

気になるのは、一見ランダムにも思えるパスワードがかなり試行されている点ですね。このパスワードをググってみると…なんかそれらしいパスワードリストがあるので、攻撃者はこういった情報をいろいろ集めて攻撃に利用しているのかもしれません。

あと攻撃者の目的ですが、不正ログイン後に Blackhole Exploit Kitなどを設置する活動が一部で観測されているようです。また今回の攻撃自体が WordPress等のサイトから行われているとの情報もあり、サーバに感染するタイプの Botnetを構築しようとしている可能性もあります。(例えば "Operation Ababil" で使用されたとみられる itsoknoproblembro など。)


(参考情報)
ベンダ等の注意喚起

まとめ記事など

*1:WordPressだけでなく、Joomla!も攻撃されていると報告しているベンダもあります。

*2:WP2.9まではデフォルトで admin になる。WP3.0からはインストール時に設定可能。すでに admin がある場合には、新規に別の管理者ユーザを作成し、その後に admin ユーザを削除する。

Remove all ads