サーバ証明書の発行を検知、初期状態のWordPressに侵入する手口が横行

サーバ証明書の発行を悪用し、WordPressで作られたサイトをターゲットにする攻撃が指摘されている（The Daily Swig、matsuu序二段さんのツイート）。

The Daily Swig の記事によれば、この攻撃はCertificate Transparency（CT）システムを悪用したもの。CTでは不正な証明書を迅速に発見するため、証明書を直ちに公開ログに記録することが義務づけられている。今回指摘されている攻撃では、悪意のあるハッカーが先の公開ログを監視し、WordPressの新規ドメインを検出すると即座にアクセス、初期インストール状態のWordPressにバックドアを仕掛けるという手法であるようだ。

この攻撃により、TLS証明書が要求されてから数秒から数分のうちにサイトがハッキングされたという証言も複数出てきているとのこと。証明書認証局のLet's EncryptのJosh Aas氏は「もし攻撃者がCT公開ログを直接監視しているのであれば、新しい証明書エントリをいち早く確認可能であり、攻撃を成功させるための時間的余裕を与えてしまうことになる。（中略）安全が確保されるまではWordPressによる新規サイト公開は避けるべきだろう」と述べている。　

スラドのコメントを読む | セキュリティセクション | セキュリティ | インターネット

　関連ストーリー：
人気オープンソースプロジェクトの脆弱性、1年で倍増 2020年06月11日
Office 365のセキュリティ機能、組織に送られたスパムメールの25％を見逃す 2019年04月17日
大塚商会のホスティングサービスでWordPressの脆弱性を狙われ複数のホストが乗っ取られる 2019年01月30日