Amazonでお得なタイムセールが開催中!

WordPressで偽物のプラグインでサイトをのっとったマルウェアはどんな挙動をする?

WordPressで偽物のプラグインでサイトをのっとったマルウェアはどんな挙動をする?

この記事には広告を含む場合があります。

記事内で紹介する商品を購入することで、当サイトに売り上げの一部が還元されることがあります。

WordPress向けセキュリティプラグインである「Wordfence」の開発元である「Defiant」が公式と見せかけたニセモノのプラグインによってサイトが乗っ取られた場合のマルウェアの様々な挙動が紹介されています。

サイトをのっとったマルウェアの挙動例

Backdoor Masquerading as Legitimate Plugin

Defiantによると以下のような5つのパターンが紹介されています。

1.悪意のあるユーザーの無断作成

WordPressで偽物のプラグインでサイトをのっとったマルウェアはどんな挙動をする?

サイトを乗っ取ると管理者権限を持つ「superadmin」というユーザーを作成し、悪意のある攻撃をした後、痕跡を消してバレないようにすることができます。

2.ボットの検出

一部のユーザーには通常どおりのコンテンツも表示させますが、一部のタイプのユーザーには悪意のあるコンテンツにリダイレクトさせるなどの行為を行います。

3.コンテンツの置き換え

WordPressの投稿したページに免責事項を追加したり、他のコンテンツやページに任意のものを勝手に追加したりします。

4.プラグインの有効化と無効化

WordPressで偽物のプラグインでサイトをのっとったマルウェアはどんな挙動をする?

マルウェアは乗っ取ることで、任意のプラグインをリモートで有効および無効化を自由にすることが可能です。

これにより悪意のあるプラグインを有効にしたり、痕跡を削除する機能を使ったりします。

5.リモート呼び出し

特定のユーザーエージェント文字列の存在をチェックして該当した場合は対応する関数が実行されるようになってしまいます。

WordPressを利用している方はプラグインなど外部機能を導入する時は十分に注意して導入する必要があります。