人気のあるWordPressプラグインにおける重大な脆弱性が、ハッカーにユーザー向けの暗号資産ウェブサイトを乗っ取られる可能性を与える。この脆弱性は、フィッシングページや偽のウォレットリンク、悪意のあるリダイレクトを注入する機会を悪意のある行為者に提供する可能性がある。
この欠陥はウォレットのバックエンドやトークン契約には影響しないが、ユーザーが暗号資産サービスと安全にやり取りするために依存しているフロントエンドのインフラを露出させる。プラグインはその後修正されたが、数万のサイトが未だに保護されておらず、古いバージョンを使用している。
SponsoredWordPressプラグインの詐欺の可能性
暗号資産犯罪は現在急増しており、多くの予期しないベクトルが新たな詐欺攻撃を生む可能性がある。例えば、デジタルセキュリティ企業Patchstackの最近の報告では、新たなWordPressの脆弱性が新たな暗号資産詐欺を可能にする可能性があることが明らかになった。
“40万以上のインストールを持つプラグインPost SMTPは、メール配信プラグインである。バージョン3.2.0以下では、プラグインのREST APIエンドポイントにおいて複数のアクセス制御の欠陥があり、登録ユーザー(特に権限を持たないはずのサブスクライバーレベルのユーザーを含む)が様々なアクションを実行できる”と報告されている。
これらの機能には、メール数の統計の閲覧、メールの再送信、メール本文を含む詳細なメールログの閲覧が含まれる。
WordPressのハッカーはこの脆弱性を利用してパスワードリセットメールを傍受し、管理者アカウントを乗っ取る可能性がある。
暗号資産における多くのターゲット
では、このWordPressの脆弱性がどのようにして暗号資産詐欺につながるのか。不幸にも、その可能性はほぼ無限である。偽のカスタマーサポートメールは多くの最近のフィッシング試行において重要な役割を果たしており、限られたメール制御でも既に危険である。
WordPressを使用する危険にさらされたサイトは、悪意のあるスクリプトやリダイレクトを使用して偽のトークンや詐欺サイトを外部リンクに挿入する可能性がある。
Sponsoredハッカーはパスワードを収集し、それを取引所のリストで使用しようとする可能性がある。特定のページを開くすべてのユーザーにマルウェアを注入することさえできる。
私のウォレットは安全か?
表面的には、ほとんどの暗号資産ウォレットやトークンプラットフォームはそのコアインフラにWordPressを使用していない。しかし、ホームページやカスタマーサポートなどのユーザーエンド機能にはよく使用されている。
堅実なエンジニアリングチームを持たない小規模または新規プロジェクトが侵害された場合、セキュリティ侵害が見過ごされる可能性がある。感染したWordPressアカウントは、将来の詐欺のためにユーザー情報を収集したり、顧客をフィッシング試行に直接誘導したりする可能性がある。
安全を保つ方法
幸いにも、Patchstackはこの特定のバグに対する修正を迅速にリリースした。しかし、Post SMTPのユーザーの10%以上がそれをインストールしていない。つまり、約4万のウェブサイトが悪用される危険性があり、大きなセキュリティリスクを抱えている。
賢明な暗号資産ユーザーは冷静さを保ち、標準的なセキュリティ対策を講じるべきである。ランダムなメールリンクを信用せず、信頼できるプロジェクトに固執し、ハードウェアウォレットを使用するなど。最大の責任はサイト運営者自身にある。
小規模な暗号資産プロジェクトがPatchstackのバグ修正をダウンロードせずにWordPressサイトを運営している場合、ハッカーはそれを利用して無限の詐欺リストを作成する可能性がある。要するに、暗号資産ユーザーは非主流プロジェクトに注意を払う限り安全であるべきである。
