2017年2月4日頃から大量改竄事件が発生し話題になったWordPress4.7/4.7.1のREST APIの脆弱性ですが、これを突いた改竄が実は年初から行われていた可能性があることが判りました。

本日確認できた改竄内容としては既存コンテンツの中に「dumpsoon」「exam」といった文字列をリンク付きで注入したもので、Googleで検索すると日本語サイトでは3サイトほど確認できています。数が少ないことや、目立ちにくい形で行われていること(一見すると改竄とは判らない)から悪意を持った改竄というよりも、脆弱性を確認してみたというテスト的な意味合いが強いものかもしれません。ただ、脆弱性を突いた改竄を他者のサイトで実験することは犯罪行為ではありますので許されることではありません。

一応、参考にGoogleのキャッシュで確認できた最古のものについて魚拓を取っていますので、そちらのスクリーンショットを貼っておきます。

ちなみに、改竄を確認できた3サイトとも現在は4.7.2になっています。従って、改竄された時期を考慮すると「自動で4.7.2にアップデートされているサイトも改竄されている可能性がある」という事が言えるでしょう。なので、自動で4.7.2に更新されたサイトについても全コンテンツについて「改竄の有無を確認する必要がありそう」です。

たまたま本日発見した情報ですので、緊急でお知らせする次第です。