Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

熊本競輪でサイト改ざん - 原因はWPプラグイン「FancyBox」の脆弱性

熊本市が運営する熊本競輪のウェブサイトが不正アクセスを受け、改ざんされていたことがわかった。WordPressプラグインにおける既知の脆弱性が攻撃を受けたという。

同市によれば、脆弱性を狙った不正アクセスが2月19日にあり、サイトの改ざんが発生。関係ない外部サイトのデータを読み込む状態だった。

期間中に967人がアクセスしているが、すでに読み込まれる外部サイトは閉鎖されており、具体的な影響はわかっていない。被害の報告などは寄せられていないが、閲覧によってマルウェアなどへ感染している可能性もある。

今回脆弱性が突かれたのは、同サイトでコンテンツマネージメントシステム(CMS)として利用しているWordPressで活用していたプラグインの「FancyBox」。

同プラグインは、コンテンツやスクリプトが挿入される深刻な脆弱性「CVE-2015-1494」が存在。ゼロデイ攻撃による改ざん被害が2月に入って判明し、2月4日に修正版がリリースされている。

同市は、脆弱性への対応が遅れたことが原因のひとつであると説明。修正した上で、23日19時過ぎよりウェブサイトを再開している。

(Security NEXT - 2015/02/25 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「WordPress」に複数の脆弱性 - プレースホルダ利用でもSQLiのおそれ
「24時間以内に対応しないとアカウント無効」 - 不安煽る偽Apple
「WordPress」のバックアップ用プラグインに脆弱性
WP向けプラグイン「Popup Maker」にXSSの脆弱性
CSSカスタマイズ用WordPressプラグインに脆弱性 - アップデートが公開
60万超のサイトで利用されるWordPress向け「ショートコード」追加プラグインに脆弱性
「WordPress」用プラグイン「Responsive Lightbox」に脆弱性
WordPress向けアクセス解析プラグインにSQLiの脆弱性
「WordPress」用ジョブボード追加プラグインに脆弱性 - リモートから画像ファイルがアップロード可能に
WordPress向けカレンダープラグインにXSSの脆弱性