マルウェア感染が止まらない理由-(WORDPRESS)
2018年7月24日Wordpress, wordpressセキュリティ, セキュリティ日記
WORDPRESSがマルウェアに感染するとよくやる対処は、テーマファイルを一つ一つ開けてチェックするケース、あるいはプラグインセキュリティを入れて駆除するパターンがオーソドックスな対処方法だと思う。ではこのやり方は本当に特効薬になりえるか?答えはNOだ。駆除をやったことの安心感だけかもしれない。見えない感染が実際には潜んでいることも知らずに。
感染に気付けない恐怖
前回の記事でも説明したがこのやり方では大概マルウェアは駆除できていない。見かけ上駆除できたように勘違いしてしまうのだ。一度駆除すると落ち着いたように見えるケースもあるし、すぐさま新しい改竄や挿入ファイルを差し込んでくるケースも有りパターンは様々だ。兎に角マルウェア感染への第一歩は、新しいサイトを構築する際にどれだけきちんとセキュリティ対策を講じて作るかが鍵である。つまり最初良ければ終わりよしとなる。逆に最初適当にサイトを作り、全くセキュリティ対策を講じないで公開すると何れマルウェアの巣窟になってしまう。直しても直しても感染する。あるいは、安心させて実際は感染しており攻撃ステーションとして乗っ取られている場合もある。これはひとつ間違えれば顧客の信用を落としてしまうことになるだろう。
どこを中継して改竄が起こっているのか?
これはざっくり6パターンある。
- uploadsフォルダーへ改竄プログラムを設置(phpファイル、画像ファイルの拡張子にして設置)
- システムファイルの脆弱性を利用して外部から差し込む。
- プラグインの脆弱性を利用して外部から差し込む。
- テーマファイルの脆弱性を利用して外部から差し込む。
- テーマ、プラグイン作者が意図して脆弱性、スパイウェアを仕込んで差し込む。
- パソコン、ブラウザに既に仕込まれたマルウェアが動き出して差し込む。
何故プラグインセキュリティ、総合セキュリティソフトではみつけられないのか?
改竄プログラムをエンコードしたり、そのコードを分割したりして判別付けにくくしている。更にプラグインセキュリティの想定以上に複雑で正規表現フィルターにひっかかりもしないものが存在する。また感染パターンや感染ファイルもダイナミックに生成されるものもあり判別を更に難しくしている。兎に角想像以上に進んだ仕組みで感染させていると感じるケースが少なからずある。私自身も片っ端からプラグインセキュリティソフトを試したが、一部は判定してくれるが、大部分がすり抜けてしまうケースが多かった。意外にもWindowsDefenderが検知してくれるものも結構あったのは驚いた。
高いマルウェアの検出はできるのか?
結論は最先端のAIと従来のヒューリスティックエンジンを搭載したPHP言語を理解できるマルウェアスキャナーでなければ検知は難しい。弊社ではいくつかのこのようなマルウェアスキャナーと目見でのチェックも合わせて高い検出を達成しています。一般的なセキュリティソフトでは検知は難しく見つかっても目立つ旧来の単純な感染パターンだけだと思います。ある意味マルウェア製作者はこういった見せ玉の感染とサイレントに見つかりにくいものを両方用意しているのかもしれない。