複数のセキュリティー・アナリストによると、インターネットに接続された大量のコンピューターを利用し、ブログソフトウェア「WordPress」が稼働しているサーヴァーを乗っ取ろうとする攻撃が進行している模様だ。
少なくとも3社のウェブホスティング・サーヴィスが報告したところによると、攻撃は広範囲に分散化されており、首謀者はわからない。90,000件以上のIPアドレス を使い、脆弱なWordPressシステムの管理者認証に対して、総当たり攻撃(ブルートフォース攻撃)が行われている。
3社のうち少なくとも1社は、攻撃者が感染したコンピューターから、これまで見られたものよりはるかに強力で破壊的な「ボットネット」を構築しようとしているのではないかと警告している。家庭や小規模な会社で使われているコンピューターで構成されたボットネットと比べると、サーヴァーは通常、非常に高速な帯域幅で接続されており、トラフィックも大きいからだ。
ウェブホスティング会社であるResellerClub社の関係者は4月12日付のブログ投稿で、WordPressが稼働している同社のシステムも「広範囲に分散化された世界規模の攻撃を継続的に」受けていることを明らかにした。
「最近、ある重要な捜査機関から、われわれのサーヴァーから米国の金融機関への大規模攻撃が行われていると連絡があった」とそのブログ投稿は述べている。「われわれがその攻撃パターンを詳細に分析したところ、攻撃のほとんどはCMS(大半がWordPress)からであることがわかった。さらに分析を進めると、管理者アカウントが(さまざまな形で)破られて、悪質なスクリプトがディレクトリーにアップロードされていることが判明した」
コンテンツ・デリヴァリー・ネットワークを運営するCloudFlare社のマシュー・プリンス最高経営責任者(CEO)によると、今回の分散攻撃は、ユーザー名「admin」と1,000件以上のよくあるパスワード を使って、WordPressサーヴァーの管理者ポータルに総当たり攻撃を試みているという。
攻撃は何万件というユニークIPアドレスから行われているとプリンス氏は話しているが、これはHostGator社がホスティングしているWordPressが90,000件以上のIPアドレスから攻撃されているという話と一致する。
HostGator社の指摘によると、すでにこの大規模攻撃によって巨大な負担が生じており、スローダウンしたりダウンしたりしているウェブサイトがある。また、いったん感染したWordPressはバックドアを設置されており、破られた管理者認証を変更しても攻撃者にコントロールされる危険は消えない という指摘もある。
今回のWordPress攻撃はいろいろな点で、10日ほど前に報道されたウェブサーヴァー「Apache」が稼働するマシンを狙った大規模攻撃に類似している。
※この翻訳は抄訳です。
TEXT BY DAN GOODIN
IMAGE BY CLOUDFLARE
TRANSLATION BY RYO OGATA/GALILEO
