WooCommerceユーザを対象にしたフィッシングメールが増加しています。
このメールは偽のパッチ配布を装ったもので、WooCommerceを運営するシステムおよび顧客情報などの情報資産を狙っています。
EC-CUBEをはじめ、WooCommerceなどのECシステムは顧客の重要な個人情報や購買データが蓄積される場所であり、
クマひよ工房では重要なインシデントと考え、このフィッシングメールについて紹介いたします。
概要
攻撃者は、架空の脆弱性(CVE)を装い、ユーザーに「緊急のパッチ」をダウンロードするよう誘導しています。
「あなたのECサイトで使っているWooCommerceに脆弱性が見つかったので、アップデートして対策してください」のようなものです。
しかし、このパッチは実際にはバックドアをインストールするマルウェアであり、IDNホモグラフ攻撃(例えば「woocommėrce.com」の「ė」を「e」に偽装)を行い、正規のURLを勘違いさせ、偽のWebページを利用させようとします。
影響を受けるシステム
攻撃の対象は、WordPressでWooCommerceを導入しているウェブサイトです。
特に、偽のパッチをインストールしたユーザーのサイトが影響を受けます。
対策
- 不正なプラグインや管理者アカウントの確認(例:名前がランダムなcronジョブや、不正なユーザーの存在)
- ソフトウェアの最新化(WooCommerceやWordPressのバージョンを確認)
- フィッシングメールや偽のWebサイトへのアクセスを避ける
脆弱性の具体的な影響
この脆弱性により、攻撃者は以下の行動が可能になります。
- リモートアクセス:サイトを遠隔操作し、スパムや怪しい広告を挿入
- トラフィックの誘導:ユーザーを詐欺サイトにリダイレクト
- ボットネットの構築:攻撃されたサーバーをDDoS攻撃に利用
- データの暗号化:ランサムウェアによる資源の暗号化と要求
トラフィックの誘導などでは、クレジットカード情報の入力ページを偽のページに誘導し、そこでカード番号を入力させることでクレジットカード情報を盗もうとするものもあります。
終わりに
WooCommerceは、EC-CUBEなどと同じく日本国内で人気のECシステムです。
WordPressを運用しながら、ECシステムを組み込めるような手軽さもあります。
その便利さゆえに、wordpressを含めたそのシステム内には重要な顧客データや企業データが一箇所にまとまっています。
それを攻撃者は狙っています。フィッシングメールが届いても焦らず、慎重に行動することをおすすめいたします。