WordPressを狙った大規模な攻撃 - セキュリティは楽しいかね？ Part 2

一昨日あたりから WordPressを狙う大規模な攻撃が世界中で観測されていて、セキュリティベンダやホスティング事業者などが注意を呼び掛けています。*1

WordPressを狙った大規模なブルートフォース攻撃(?)が観測されているみたい。
CloudFlareの報告→ http://t.co/CVoxZ7nYIc
Sucuriの報告→ http://t.co/Q5jw0JD92X
— Masafumi Negishi (@MasafumiNegishi) April 12, 2013

攻撃の概要をまとめると、こんな感じです。

WordPressに対して無差別に行われている

'admin' 等のアカウントに対する辞書攻撃が行われている

攻撃元として 9万から 10万の IPアドレスが確認されており、攻撃者は Botnetを利用していると思われる

不正にログインされると、バックドアなどのスクリプトがアップロードされる

対策について、WordPress開発者(ファウンダ)の一人である Matt Mullenwegもコメントしていますが、次の 2つはすぐにやったほうがいいでしょう。

admin という管理者ユーザ名を変更すること *2

簡単に推測できない強力なパスワードを設定すること

またすでに不正にログインされてしまった可能性もあります。adminユーザに弱いパスワードを設定していたなど心当たりのある方は、見覚えのないユーザやファイルが追加されていないか確認したほうがいいでしょう。

さて攻撃の内容については Sucuriの記事が比較的詳しく、狙われているユーザ名やパスワード、攻撃元の IPアドレスの情報なども載っています。以下の表は Sucuriのデータを元に作成したものです。

試行されているユーザ名 Top 5 と試行回数

ユーザ名	試行回数
admin	652,911
test	10,173
administrator	8,992
Admin	8,921
root	2,495

試行されているパスワード Top 5 と試行回数

パスワード	試行回数
admin	16,798
123456	10,880
666666	9,727
111111	9,106
12345678	7,882

気になるのは、一見ランダムにも思えるパスワードがかなり試行されている点ですね。このパスワードをググってみると…なんかそれらしいパスワードリストがあるので、攻撃者はこういった情報をいろいろ集めて攻撃に利用しているのかもしれません。

あと攻撃者の目的ですが、不正ログイン後に Blackhole Exploit Kitなどを設置する活動が一部で観測されているようです。また今回の攻撃自体が WordPress等のサイトから行われているとの情報もあり、サーバに感染するタイプの Botnetを構築しようとしている可能性もあります。(例えば "Operation Ababil" で使用されたとみられる itsoknoproblembro など。)

(参考情報)
ベンダ等の注意喚起

まとめ記事など

*1:WordPressだけでなく、Joomla!も攻撃されていると報告しているベンダもあります。

*2:WP2.9まではデフォルトで admin になる。WP3.0からはインストール時に設定可能。すでに admin がある場合には、新規に別の管理者ユーザを作成し、その後に admin ユーザを削除する。