攻撃者がClickFix攻撃のために700件のGhost CMSサイトを侵害

Ghost CMSの深刻な脆弱性（CVE-2026-26980）を悪用した大規模なハッキング攻撃により、700件を超えるWebサイトが感染し、偽のセキュリティ認証へ誘導する「ClickFix」攻撃にさらされています。

全文翻訳

攻撃者らは、最近公開されたGhost CMSの深刻なセキュリティ欠陥を悪用し、偽のセキュリティ認証へ誘導するClickFix攻撃を展開する目的で、悪意のあるJavaScriptコードを注入しています。

QiAnXin XLabによると、今回の攻撃はGhostのコンテンツAPIで見つかったSQLインジェクション脆弱性であるCVE-2026-26980（CVSSスコア: 9.4）を悪用するものです。この脆弱性を利用すると、認証されていない攻撃者がデータベースから任意のデータを読み取ることができます。このセキュリティ欠陥は2026年2月にリリースされたバージョン6.19.1で修正されており、脆弱性自体はAnthropicが自社AIのClaudeを用いて発見しました。

この脆弱性が特に危険なのは、攻撃者が権限なしにWebサイトの管理者APIキーを窃取できるためです。管理者APIキーを手にした攻撃者は、Ghost CMSに掲載された記事を直接改ざんできる権限を持つことになり、これによってサイトに悪性コードを不正注入する、いわゆる「コンテンツ汚染」が可能になります。

XLabは「攻撃者らはこのセキュリティ欠陥を足がかりとして標的サイトの管理者APIキーを不正取得した後、Ghost管理者APIを使って記事を大量に改ざんした」とし、「ページ下部に悪意あるJavaScriptローダーを注入して、偽のCAPTCHA認証攻撃を補助するようにした」と説明しています。

中国のセキュリティ企業であるXLabは、今回の活動をGhost CMSの欠陥を武器化した「大規模汚染」キャンペーンと位置づけました。このキャンペーンの背後には少なくとも2つの異なる脅威グループが存在するとみられ、一部サイトでは脆弱性が露出してからわずか1日で悪性コードが仕込まれたケースもありました。この攻撃は2026年5月7日に初めて確認されました。

現在までに、このキャンペーンによって大学、ブロックチェーン、人工知能（AI）、サービスとしてのソフトウェア（SaaS）、セキュリティ研究、メディア、フィンテック分野にまたがる700件超のWebサイトが侵害されています {b:100}。XLabは、正当で信頼性の高いWebサイトがハッキングされている事実により、ユーザーがだまされる可能性が高まり、ClickFix攻撃の成功率がさらに上昇するおそれがあると警告しました。

記事下部に注入されたJavaScriptコードは第2段階ローダーとして機能し、ユーザーがページを開いて実行されるタイミングで、外部ドメイン（"clo4shara[.]xyz/11z77u3.php"）からメインペイロードを取得する役割を担います。この構造は攻撃者に高い柔軟性を与えます。複数の感染サイトでローダー機能はそのまま維持しつつ、自分たちが定めた基準に従って、いつでもメインペイロードだけを容易に差し替えられるためです。

XLabは「当該アドレス（clo4shara[.]xyz/11z77u3.php）に直接アクセスしてみると、典型的なトラフィック分散スクリプトで構成されたコードを確認できる」とし、「このスクリプトの中核機能は、ユーザーブラウザのさまざまなフィンガープリント（識別情報）を収集してサーバーへ送信し、サーバーから返される命令に応じてリダイレクト、ポップアップ表示、ダウンロードなどの悪意ある動作を実行することだ」と述べました。このPHPスクリプトは、市販のクローキング（アクセス制御および秘匿化）サービスであるAdspectを基盤に動作します。

このようなクローキングスクリプトを使う理由は、セキュリティ検知装置やクローラーには正常なWebページだけを見せ、実際の攻撃対象となる一般ユーザーにのみ悪性ペイロードを届けるためです。またこのスクリプトは、任意のJavaScriptコードを実行し、被害者のブラウザを遠隔操作できる19種類の異なるコマンドをサポートしています。

攻撃対象と判断された訪問者には、自分が「ロボットではない人間」であることを証明するよう促す偽のCAPTCHA認証ページが、iframe HTML要素を通じて画面に表示されます。ここでClickFix攻撃が本格的に始まり、画面の指示に従ってユーザーにBase64でエンコードされたコマンドをコピーし、Windowsの「ファイル名を指定して実行」ダイアログに貼り付けるよう誘導します。

ユーザーがこのコマンドを実行すると、ZIPファイルをダウンロードするドロッパーが起動し、展開後に内部のWindowsバッチスクリプトを実行します。このバッチスクリプトはさらにPowerShellコマンドを実行して、リモートドメインからDLLファイルをダウンロードし、その後「rundll32.exe」を介してそれを実行します。同時に、ユーザーの疑念をそらすための偽装Webページも表示します。

その後に確認された亜種マルウェアでは、DLLファイルの代わりにJavaScriptペイロードが使われることもありました。しかしペイロードの形式が何であれ、この攻撃の最終目的はWindows実行ファイル（EXE）をユーザーPCにインストールすることです。DLL版では、有効なコード署名証明書を含むPuTTYクライアントプログラムが実行ファイルとしてインストールされ、JavaScript経由で配布されるバイナリは、Electronアプリケーション向けのInno Setupインストーラーの形を取っています。

こうしてインストールされたアプリケーションは、オープンソースのGrapeデスクトップクライアントを改変したものです。システムに恒常的に常駐し、リモートサーバー（"web-telegram[.]ug"）へ30秒ごとにビーコンを送って攻撃者からの命令を確認し、JavaScriptコードや実行ファイルを起動する役割を担います。

Ghost CMSユーザーは被害を防ぐため、自身のインスタンスを直ちに最新バージョンへアップグレードし、すべての認証情報（パスワードおよびAPIキー）をリセットする必要があります。あわせてサイト内部をクリーンアップし、不審な活動の痕跡がないかアクセスログを綿密に監査すべきです。また、サイトが汚染されていた期間に訪問した可能性のあるユーザーに対して、ハッキングのリスクを通知し注意を呼びかけることも推奨されます.