WordPressチームから脆弱性に関するメールが届いたら
WordPressのセキュリティプラグインを作っているWordfenseのブログで、こんな記事を見つけました。
PSA: Fake CVE-2023-45124 Phishing Scam Tricks Users Into Installing Backdoor Plugin(注意喚起:偽のCVE-2023-45124フィッシング詐欺がユーザーをだましてバックドアプラグインをインストールさせる)
詐欺の特徴
これはいわゆる、フィッシング詐欺です。
メールで「ここをクリックしてください」と誘導して、悪意のあるサイトにアクセスさせる詐欺です。
ただ、今回の詐欺メールで特徴的なのは、WordPressセキュリティチームを装ってメールを送っており、メール本文も「あなたのサイトにCVE-2023-45124の脆弱性が見つかりました。対策プラグインを作成したので、ダウンロードして有効にしてください」と、誘導していることです。
ダウンロードサイトは、en-gb-wordpress(ドット)orgという、いかにもWordPressに関係ありそうなサイトのようです。しかし、実際にそのプラグインをダウンロードして有効化すると、そのWordPressサイトを乗っ取られるそうです。
怖いですね。
詐欺を見抜けるか?
「CVE-2023-45124」という脆弱性は、12月2日時点ではまだ存在していません。(cve.orgというサイトで検索可能です)
なので、セキュリティの専門家であれば、このメールを受け取ったあと、まずはcveのデータベースで調べて、「おかしいぞ?」と気づくのだろうと思います。
セキュリティの専門家でない場合も、「WordPressセキュリティチームが作った対策プラグインなのに、なぜ、WordPressの公式プラグインからダウンロードさせないのだろう?」という疑問を持つことができれば、ダウンロードせずに済むかもしれません。
とはいえ、詐欺メールに素直に誘導されてしまう人も、一定数いただろうと思います。
まとめ
フィッシング詐欺は、年々巧妙化しているとは思っていましたが、とうとうWordPressのセキュリティ関係者を名乗るようになりました。
「WordPressに脆弱性が発見されたから、対策してください」という、いかにもありそうな場面を設定しているのが、この詐欺メールのうまいところだと思います。
メールは英文なので、日本での被害があるのかどうか分かりませんが、これから似たような手口が出てこないとも限りません。
わたしもWordPressを利用しているひとりとして、「こういう事例もあるんだ」ということは、知っておきたいと思います。