6月26日:サイバーセキュリティ関連ニュース
Polyfill.io使ったサプライチェーン攻撃でサイト10万件以上に影響
BleepingComputer – June 25, 2024
Polyfill.ioを使ったサプライチェーン攻撃で、10万件以上のサイトが影響を受けていることが判明した。サイバーセキュリティ企業のSansecが25日に発した警告によれば、今年初めに中国企業「Funnull」がPolyfill.ioのドメインとGitHubアカウントを購入後、ユーザーを有害なサイトへリダイレクトするようスクリプトが変更されたという。Sansecはこのインシデントを、典型的なサプライチェーン攻撃事例であると評している。
このスクリプト変更の結果、cdn.polyfill.io内のコードを使用しているあらゆるサイトを通じて、モバイルデバイスにマルウェアが注入されているという。このうち、あるマルウェアに関しては、偽のGoogleアナリティクスドメインを使用してユーザーを詐欺サイトへリダイレクトすることがわかっている。ただ、この有害コードはリバースエンジニアリングに対する特別な保護装置を備えているため、完全に分析することが困難とのこと。
Googleは広告主に対し、このサプライチェーン攻撃についての通知を行い、ランディングページに有害なコードが含まれていること、そしてサイト所有者の認識や許可なくユーザーが悪質なサイトにリダイレクトさせられる可能性があることを警告した。Googleはまた、Bootcss、Bootcdn、Staticfileといったサイトでも意図しないリダイレクトが引き起こされることに注意を促していることから、サプライチェーン攻撃を受けるサイトが数千〜数万件増える恐れが出てきている。
WordPressプラグインがサプライチェーン攻撃で複数侵害される
6月21日から1週間ほどの間にWordPressの5つのプラグインに有害なコードが注入されていたことを、Defiant社が発見。同社の調査により、このコードには新たな管理者アカウントの作成を試みる働きがあることが明らかとなっている。
このコードはWordPressサイトに感染すると、管理者アカウントの作成を試みた後、攻撃者が制御するサーバーに詳細情報を送り返すとされる。攻撃者はさらに、感染したWebサイトのフッターにも有害なJavaScriptコードを注入していたとみられ、これによってWebサイト全体にSEOスパムが仕掛けられたと思われる。
影響を受けるプラグインは以下の通り。
- Social Warfareのバージョン4.4.6.4〜4.4.7.1
- Blaze Widget バージョン2.2.5〜2.5.2
- Wrapper Link Element バージョン1.0.2と1.0.3
- Contact Form 7 Multi-Step Addon バージョン1.0.4と1.0.5
- Simply Show Hooks 1.2.1
Defiantによると、これらのプラグインはサプライチェーン攻撃の一環として侵害された可能性が高いという。5つのプラグインはすべてWordPressのPlugin Review Teamによってサービスが停止され、ダウンロードも不可となっている。Social Warfareについてはできるだけ早くバージョン4.4.7.3にアップデートすることが推奨されているが、ほか4つのプラグインの最新バージョンに関しては、有害なコードが取り除かれているかどうかがわかっていない。