ブロギングライフ

ブログサイト運営関連、AdSenseについての情報などを発信しています。

30万 サイトで利用されていたWordPress プラグイン Captchaにバックドア!

No Comments
30万 サイトで利用されていたWordPress プラグイン Captchaにバックドア!

WordPress セキュリティプラグインなどを提供している会社、Wordfenceが、WordPress サイトで30万のダウンロードされているプラグイン Captcha にバックドアがあることを発見したとブログに投稿し、大きな話題となっています。バックドアとは通常の認証プロセスを迂回して密かにサーバーを遠隔操作する乗っ取り手口です。

かなり大きなニュースであること、利用サイト数が多いプラグインであること、セキュリティに関わる話であること、興味深く参考にもなると思うので、Wordfenceの記事の内容を訳し、コメントなどを付記して紹介します。

長い記事になりますが、ノンフィクションのネット探偵小説を読んでいるような気分になります。サイトを運営する上で、知っておいた方が良いことも随所に含まれています。是非、お読み下さい!

 Captcha プラグインにバックドア 30万のWordPress サイトに影響

元記事: Backdoor in Captcha Plugin Affects 300K WordPress Sites
December 19, 2017 by Matt Barry / Wordfence

最近、WordPress のレポジトリからプラグイン Captcha が削除されました。理由に関しては、当初、”WordPress”をプラグインのブランドネームとして使用していることがトレードマーク(商標)の問題となっているためであると現在の製作者が説明していました。[このオリジナルのページは削除されています。そのため我々はスクリーン・ショットへのリンクを貼っています。]

以下が当初掲載されていた製作者の説明の投稿のスクリーン・ショットです。(現在は削除されています。)

WordPressのレポジトリからCaptchaが削除された当初に投稿された記事

Captcha 製作者の説明の訳を以下に記します。

プラグインはブランドが変更になるまでダウンロードできません

皆さん、

プラグインは数日間ダウンロードができなくなりましたことをお知らせします。理由は、WordPressが我々のブランド名に”Wordpress”が含まれており、規約に抵触するため変更するように求められているためです。我々はこの問題に気づきませんでした。この問題を解決して、近いうちに戻ってきます。

本件につきましてご了解下さることを御礼申し上げます。良い週末をお過ごし下さい。

Simply サポート

プラグイン製作者の名前は、”Simplywordpress”です。製作者は名前が問題だとWordPressから指摘をされたことが理由であると説明しています。

(追加説明以上。Wordfenceの記事の内容に戻ります。)

WordPressのレポジトリから多くのユーザが使用するプラグインが削除された時、我々はセキュリティ関連の何か問題がある可能性があったかどうかチェックします。また、Wordfenceのプラグインユーザーには、WordPressのレポジトリから削除されたプラグインがあることを通知しています。今回削除されたCaptchaは、30万を超えるアクティブインストールがあります。そのため、多くのユーザーに多大な影響を与えるものです。開発者は個人で、プラグイン削除の理由を投稿しましたが、何か開発者の方で不正な行いがあったかどうか、プラグインのソースを見てみることにしました。そして、以下のコードを発見しました。Capcha プラグインのコード

このコードは、https://simplywordpress[dot]net/captcha/captcha_pro_update.php からZIPファイルをダウンロードし、自動的にアップデートのプロセスを行うことを起動するものです。そして、圧縮ファイルを解凍し、サイトで動作しているCaptchプラグインのコピーを書き換える(インストール)するものです。ZIPにはプラグインレポジトリにあるいくつかのちいさなコード変更が含まれています。そして、plugin-update.php と呼ぶファイルが含まれています。このファイルはバックドアです。

Captcha プラグインのコード

バックドアファイルは、アタッカー(攻撃者/ハッカー)、または今回のケースの場合、プラグインの製作者に承認されていないあなたのウェッブサイトの管理者アクセス権限を与えるものです。このバックドアは、ユーザーID 1(あなたが最初にWordPressをインストールした時に作ったデフォルトの管理ユーザー)のセッションを作成し、クッキーの認証を行なって、自分(バックドアファイル)を削除します。

バックドアのインストレーションコードは非承認のもので、誰でも起動することができるものです。我々は、このバックドア インストレーションと実行がどのように行われるコンセプトについて実証する技術的な詳細を、30日後にこの記事を編集して追加する予定です。

ZIPファイル内のもう一つ別の変更点は、製作者がバックドアをインストールするために使った同じ自動更新プロセスのURLのアップデートです。

Captcha プラグインのコード

このコードは、https://simplywordpress[net]net/captcha/captcha_free_update.php から引っ張ってきて、プラグインにあるファイルと見分けがつかないものです。そのため、同じ自動アップデートのプロセスによって、バックドアのファイルシステムの痕跡を全て削除して、一見すると何も起きていなかったのように元の状態になることで、攻撃者が発見されることを逃れることの助けるようになっています。

WordPress プラグインのレポジトリに、このプラグインの中に悪質なコードが含まれた最初は、2017年12月4日のUTC 1:52pmです。

新しい Captcha の制作者は誰(何者)なのか?

以前はプラグイン開発会社 BestWebSoftが、Captcha を保有し更新管理を行なっていました。2017年9月5日に、新しいオーナーが誰なのかについて言及せずに所有者の変更を発表しました。

我々は、バックドアが含まれているZIPファイルを提供するドメイン simplywordpress.net を誰が所有しているのか見つけようと決心しました。Simplywordpress.net は、scwellington@hotomail.co.ukのEメールアドレスでStacy Wellingtonと言う名の人物によって登録されています。リバース whois ルックアップを使用して、我々はこのユーザーに登録された多くの他のドメインを発見しました。

http://viewdns.info/reversewhois/?q=scwellington%40hotmail.co.uk

我々が過去に見たことのあるドメイン:unsecuredloans4u.co.uk が目に飛び込んできました。

unsecuredloans4u.co.uk のフッターの記載:

Unsecuredloans4u.co.uk is a registered Trading Name of Soiza Internet Marketers Limited, which is an Introducer Appointed Representative of Quint Group Limited and is entered on the Financial Services Register under the reference number: 748266.

もしも、あなたがまだ、我々の Mason Soiza についての以前の記事を読んでいらっしゃらないのであれば、まず先に読むことをお勧めします。なぜなら、彼は彼のサイトへの隠されたバックリンクを作るためにWordPress プラグインを購入している長い歴史があるためです。そして、彼はそれらのバックリンクをSERP(Search Engine Results Pages, 検索結果ページ)の順位を引き上げるために使っているのです。

ホストマスターのEメールアドレスは、simplywordpress.netとunsecuredloans4u.co.uk (Stacy Wellington scwellington@hotmail.co.uk) 両方共同じです。

simplywordpress.net のDNSヒストリーは、以前のAレコードで195.154.179.176 があります。これは、現在のunsecuredloans4u.co.ukのAレコードです。このDNS 変更は、約1ヶ月前に発生しました。(Captcha の管理者(comitter)が新しいオーナーのwpdevmgr2678に変更になった2ヶ月後)

195.154.179.176にホストされている他のドメインをルックアップしてみると、pingloans.co.uk がありました。これはAppointed Representative of Quint Group Limited を紹介するのもう一つです。サイトのフッターの記載:

Pingloans.co.uk is a registered trading style of Serpable Ltd, which is an Introducer Appointed Representative of Quint Group Limited and is entered on the financial services register under the reference number 780328. Quint Group Limited is authorised and regulated by the Financial Conduct Authority and is entered on the Financial Services Register under reference number: 669450. Serpable Ltd is registered in England and Wales (Company number: 10699069), Registered Office, 17 Collingbourne Avenue, Bournemouth, Dorset. BH6 5QR. Licenced by the Information Commissioners Office, (registration number ZA248554).

Serpable Ltd は、Charlotte Ann Wellingtonが所有しています。Stacy Wellingtonの親族関係者の可能性があります。Stacy Wellington のメールアドレスは、pingloans.co.ukのホストマスターのEメールでもあります。

二人のWellingtonsとMason Soiza間に共通するのは、Quint Group Limitedです。我々は、Mason Soizaが所有するローンサイトへのバックリンクを不正に作成するために購入したプラグインにバックドアを作っているのを発見しています。これらのバックリンクは、異なる検索条件での検索エンジンのサイトのランキング付に大きな役割を果たしています。しかし、今回、CharlotteまたはStacy Wellingtonのどちらかが、我々が発見したCaptchaプラグインのバックドアのコードの製作者かどうかは不明です。

我々は、引き続きsimplywordpress.netを調べることにしました。サイトのオーナーは、Captchaに加えて他に5つのプラグインをダウンロード可能にして提供中です:

  • Covert me Popup
  • Death To Comments
  • Human Captcha
  • Smart Recaptcha
  • Social Exchange

全ての5つのプラグインは、我々がCaptchaで発見した同じバックドアのインストレーションコードが含まれています。site:simplywordpress.net を行うと、エクストラのプラグインのダウンロードのディレクトリーが表示されました。

Captcha プラグイン提供サイトsimplywordpress.netのsiteコマンド結果

http://simplywordpress.net/recaptcha2/
http://simplywordpress.net/swpopup/
http://simplywordpress.net/recaptcha1/

http://simplywordpress.net/recaptcha1/sw_popup_free_update.php は、我々がCaptchaと他のプラグインで見た同じバックドアのインストレーションコードがあるZIPファイルをダウンロードします。しかし、自動アップデート機能 (swpopup.phpのライン525)で使用されているURLのバックドア化されたZIPのダウンロードは異なるドメインを指しています。

Heyrank.co.uk は、Stacy Wellingtonで登録されているもう一つのドメインです。unsecuredloans4u.co.uk (195.154.179.176, Mason Soizaのドメイン)と同じIPアドレスにあります。そして、ネームサーバのレコードは、unsecuredloans4u.co.uk:の一部となっています。

unsecuredloans4u.co.uk のネームサーバ情報

これまでの時点で、我々はStacy Wellingtonとsimplywordpress.net、そして、heyrank.co.ukの間に強い相互関係が見つかっています。そのため、wpdevmgr2678は、Stacy Wellingtonである可能性が非常に高いです。Mason Soizaとの繋がりは、unsecuredloans4u.co.uk と Quint Ltd. です。Mason SoizaとStacy Wellingtonは、Appointed Representatives of Quint Ltdのイントロデューサーのビジネスを保有しています。

Serpable Ltd

我々は現時点で、StacyとCharlottet Ann Wellingtonは、Serpable Ltd.と言う会社を通してQuint Ltdと関わりがあることが分かっています。そのため、Stacy WellingtonとSerpableの間に繋がりがあるか探してみることにしました。そして、彼の履歴を発見しました:

彼は、Serpable  (http://www.serpable.co.uk/) で働いていること、そして、コンピュータセキュリティに興味があると述べています。この会社は、Charlotte Ann Wellingtonが所有しています。Charlotteは、ホストマスターがStacyのEメールで登録されているEcodelabs.groupとleadbrain.co.jp も所有しています。

Serpable Ltd社は、SEO会社です。(または、以前はそうでした)過去にバックリンクの価格を広告していたことがあります。BlackHatWorldで使用しているSkypeのハンドル名 stacy.wellington1が、ユーザー名 Serpable Ltd の投稿に含まれています。

我々は、Quint Groupが元のローンサイトで、「Serpable Ltd.は、Quint Group Limitedの指定代理のイントロデューサーです。」の記載を見つけました。

フッターの記載:

“Loanload.co.uk is a registered trading style of Serpable Ltd, which is an Introducer Appointed Representative of Quint Group Limited and is entered on the financial services register under the reference number 780328. Quint Group Limited is authorised and regulated by the Financial Conduct Authority and is entered on the Financial Services Register under reference number: 669450. Serpable Ltd is registered in England and Wales (Company number: 10699069), Registered Office, 17 Collingbourne Avenue, Bournemouth, Dorset. BH6 5QR. Licenced by the Information Commissioners Office, (registration number ZA248554).”

現時点までで我々が行っていること

この記事を書いている時点で、我々のユーザーのサイトをバックドアインストレーションから保護する合計3つのファイアーウォールルールを作成しています。プレミアムカスタマーは、最初の2つのルールを12月8日、3つめを14日に受け取りました。これらのルールは、Captchaで実行されるバックドアに対する防御とsimplywordpress.netでダウンロード可能な他の5つのプラグインに対応しています。無料ユーザーは、これらのルールをThreat Defense Feed のコミュニティバージョンを経由してオリジナルのパブリッシュ日から30日後に受け取ることができます。

我々は、バックドア・フリーのパッチを行なったバージョンのCaptcha (4.4.5)の作業をWordPress.orgのプラグインチームと一緒に行なっています。プラグインチームは、自動アップデートを使用して、バックドアバージョン(4.3.6 – 4.4.4)から新しい4.4.5 バージョンへのアップグレードをしています。週末の間にバージョン4.3.6から4.4.4が動作していた10万を超えるサイトは、4.4.5にアップグレードされました。彼ら(WordPress.orgのプラグインチーム)は、レビュー無しでの製作者のプラグインのアップデートの公開をブロックしています。

我々の推奨

我々は、あなたのサイトから速やかにCaptcha プラグインをアンインストールすることをお勧めします。我々が収集している公開されているデータから、この開発者はユーザーの安全性を考慮していないこと、そして、さらに別のサプライチェーンの攻撃を行う犯罪者である可能性が高いです。あなたは、WordPressの自動アップデートを有効にしておくべきです。それが、今回発生したような自体が公開される前においても、あなたのサイトを安全に保つ最良の方法の1つです。我々は、今回のような脅威にたいするサイトを守るためにWordfenceのプレミアムバージョンのご使用を同様に推奨します。

記事を読んだ感想とあとがき

元のWordfenceの記事がかなり長いので、本記事を書く前の時点では、主だったところを訳してまとめて説明するような形態で記事を作成しようと考えていました。しかし、記事を訳しながら読んでいる内に、元記事はあまりにも興味深い内容が多いため、全文訳すことにしました。ノンフィクションの探偵小説を読んでいるような気分になりました。

30万もアクティブインストールがあるプラグインにバックドアが仕込まれているというのは衝撃的な出来事だと思います。記事のバックドアの手口の説明を読んで、本当に手の込んだことをしているなと思いました。

既に対策されたアップデートが行われていることを説明した後で、太字で速やかにCaptcha  プラグインをアンインストールすることを推奨しています。対策のアップデートがされているから絶対大丈夫とは限らない。より安全な対策は、プラグインをアンインストールすることであることを示唆していると思います。この点についても、着目すべきポイントだと思います。

備考 / 注意事項:
本記事で紹介したCaptchaプラグインとGoogleが提供するreCAPTCHAは、関係がありません。サイトのコメント投稿やメール送信の際にreCAPTCHAによる認証を行うことはサイトのセキュリティを強化することに繋がります。ブロギングライフでは、Googleの最新バージョンのInvisible reCAPTCHAを導入しています。reCAPTCHAによる認証を行うは、スパム行為の低減やハッカーからの乗っ取りの攻撃を防止することにも繋がります。

毎年年初に公開されるGoogleのBad Ads Reportの2017年版を訳した時も思ったのですが、巨額の利益を得ることができるため、不正を試みる行いも絶えないのだと改めて思いました。

Wordfenceの記事の最後に推奨しているようにWordPressの自動アップデート機能を有効にしておくことは、サイトの安全性を保つことに重要なことだと思います。また、サイトの安全性については、さらに気をつけようと考えています。

今回発見されたCaptcha プラグインのバックドアに関する手口について技術的な検証を行なって、詳細を30日後に記事を編集して追加する予定とのことなので、検証結果がどのようなものになるのかも興味を持っています。更新情報を入手した場合は、本記事に追記します。

スポンサーリンク

コメントを残す(承認後表示されます)

*
*
* (will not be published.)

Return Top