【悲報】WordPressを狙ったマルウェアが悪質すぎる…jQueryのコアファイルを巧妙に書き換え

数日前からWordPressを使って構築していたサイトで奇妙な現象が発生しました。

初回訪問時に、どこかをクリックすると(リンクも何もない場所でも)、突然、他のページに移動し、謎のページに移動したあとに、広告バナーが表示されたページに到達。最終的に広告が表示されるあたり、どうやらマルウェアにやられたらしい。

謎のページがこちら。オンライン大学&スクールとありますが、謎です。中間ページということもあり、調べる気も起りません。このページに後に広告バナーが表示されたページへ移動しました(キャプチャは撮影し忘れました)

原因を特定しようにもなかなか見つかりません。動作を再現しようとしても、初回訪問時しかマルウェアが動かないために、再現のしようがない。PHPファイルの書き換えを「更新日時」から調査するもの該当の悪さをしている該当のファイルが見つからない。。。

捜索から1時間ほど経ち、あきらめかけていた時に、海外のサイトでの書き込みからヒントを得ました。そして、悪さをしているファイルをついに見つけました。

そのファイル名は「jquery.js」「jquery-migrate.min.js」

まさか「jQuery」のコアファイルを書き換えているなんて思いもしませんでした。jQueryのファイルが深いところにあるのでその点も気づきにくい。更新日時がやけに最近なので気が付きました。

中を開いて、他のサイトのjQueryファイルと比較してみると書き換わっているの一目瞭然です。中身をみても、リダイレクトの先のサイトのURLはわからないように巧妙に変えています。悪質すぎる。。。

とりあえず、こちらの2つのファイルを他ファイルと交換することで現象は発生しないようになりました。同じような事態に陥っているこちらの記事が役立てばと思います。