GoDaddyが提供するWordPress一括管理プラットフォーム「ManageWP」を標的にしたフィッシングキャンペーンが確認された。Googleの広告枠(スポンサード検索結果)に偽のManageWPログインページを表示し、管理者の認証情報と二要素認証(2FA)コードをリアルタイムで窃取するという高度な手口だ。セキュリティ企業Guardio Labsが調査・公開した。

ManageWPとは何か、なぜ狙われるのか

ManageWPは、複数のWordPressサイトを単一のダッシュボードから一元管理できるサービスだ。Webエージェンシーやフリーランスの開発者、企業が「クライアントのサイトをまとめて管理する」ために使うツールで、WordPress.orgの統計によれば関連プラグインは100万サイト以上で有効化されている。

攻撃者にとってManageWPのアカウントは「マスターキー」に相当する。Guardio Labsの主任研究員Nati Talによれば、1アカウントが数百サイトを管理しているケースも珍しくない。つまり1件の認証情報窃取で、数百サイトへの同時侵害が可能になる。

2FAも突破するAitM(Adversary-in-the-Middle)の仕組み

今回の攻撃が従来のフィッシングと大きく異なる点は、リアルタイムの中間者(AitM)プロキシを採用していることだ。

通常のフィッシングは「偽サイトでID/パスワードを入力させて盗む」だけだが、AitMでは偽サイトが本物のManageWPとの通信を中継する。被害者がIDとパスワードを入力すると、攻撃者はそれを即座に本物のサービスへ送信。すると本物のサービスから2FAコードが被害者のスマートフォンに届く。被害者が偽サイトで2FAコードを入力すると、攻撃者はそのコードも中継して認証を完了し、有効なセッションを奪取できる。

入力した認証情報はTelegramチャンネルに送信される仕組みで、攻撃者のC2(コマンド&コントロール)パネルにはドロップダウン操作のコマンドシステムが備わっており、対話型・オペレーター主導のフィッシングフローを実現している。

「Google検索の上位」というトリガー

攻撃のエントリポイントは、Googleで「managewp」と検索したときに表示されるスポンサードリンク(広告枠)だ。正規の検索結果より上位に偽サイトが表示されるため、ブックマークをしていないユーザーや「Googleで検索してURLを探す」習慣のあるユーザーが騙されやすい。

Guardio LabsはC2インフラへの侵入に成功し、200名以上の被害者を確認。現在は被害者への通知活動も進めている。

また、コード内にロシア語の免責事項が埋め込まれていたことも判明。「違法行為には責任を負わない」「教育・研究目的での利用を想定」「ロシア国内システムへの使用禁止」といった内容で、コモディティキットではなくプライベートなフィッシングフレームワークと見られている。

実務への影響——Webエージェンシーとサイト運営者が今すぐすべきこと

ManageWPユーザーへの即時対応:

  • ログインURLは必ずブックマークからアクセスする。検索結果(特に広告枠)から飛ばない
  • Googleスポンサードリンクのアイコン(「スポンサー」表示)を常に確認する習慣をつける
  • 不審なログインがないか、アカウントのアクティビティログを確認する
  • パスワードを即座に変更し、既存セッションをすべて無効化する

IT管理者・セキュリティ担当者向け:

  • AitM攻撃は2FAを突破するため、「2FAを設定しているから安全」という前提を捨てる
  • パスキー(FIDO2)やハードウェアキーなど、フィッシング耐性のある認証方式への移行を検討する
  • 社内でManageWPを使っているチームに対して、今回の手口を周知徹底する
  • Google広告経由の偽サイトは広告費さえ払えば誰でも上位表示できるという構造的問題を認識し、重要サービスのURLは必ずブックマーク管理するポリシーを設ける

筆者の見解

AitM攻撃そのものは目新しい技術ではない。ただし今回注目すべきは、「Googleの広告インフラを悪用する」という手口の再現性の高さだ。GoogleはAd Policiesで偽装広告を禁止しているが、現実には検知が後手に回ることが多い。「検索エンジンのトップに出るから信頼できる」という感覚的な安心感が、攻撃者にとって最大の武器になっている。

ManageWPのような「多サイト一括管理」ツールは、業務効率の観点からは非常に合理的な選択だ。しかしそれは同時に、「一点突破で大規模被害が出る」攻撃面の拡大でもある。エージェンシーや管理受託業者がこうしたツールを使う場合、認証の堅牢性を通常の業務ツール以上に高める必要がある。

AitMへの根本的な対策はパスキー(FIDO2)への移行だ。フィッシングサイトにいくら正確なパスワードと2FAコードを入力させても、パスキーはオリジン(ドメイン)バインドされているため中継が機能しない。「2FAを設定しているから大丈夫」という安心感はもう通用しない——そのアップデートを今すぐ組織に伝えてほしい。

WordPressエコシステムは日本でも大量のサイト運営基盤として使われている。今回の200件という被害数は公表値に過ぎず、実態はさらに広い可能性がある。ManageWPに限らず、複数サービスを一括管理する「ハブ系ツール」のログインURLは今日中にブックマーク登録し、検索経由でのアクセスをやめることを強く勧めたい。

出典: この記事は Hackers abuse Google ads for GoDaddy ManageWP login phishing の内容をもとに、筆者の見解を加えて独自に執筆したものです。