概要
PushEngageに影響を与えるセキュリティインシデントに対応しています。攻撃者は、コンテンツ配信ネットワーク(CDN)の認証情報にアクセスし、それを使用して、これらの製品が顧客サイトに配信する改ざんされたJavaScriptファイルバージョンを提供しました。限定的な期間、当社のスクリプトを埋め込んでいるサイトは、この変更されたファイルをCDNから直接読み込みました。
悪意のあるコードは、ログイン中のWordPress管理者に対してのみ有効でした。影響を受けたサイトで実行されると、隠し管理者アカウントを作成し、隠されたバックドアプラグインをインストールしようとし、その後、攻撃者が制御するサーバーにデータを送信しました。通常のサイト訪問者は標的ではありませんでしたが、コードは攻撃者にサイトの制御を渡す可能性があるため、影響を受けたサイトは侵害されたものとして扱う必要があります。
範囲 – 到達したもの、しなかったもの:
当社のアプリケーションサーバー、ソースコード、およびPushEngageアカウント情報を保存するシステムは別個にホストされており、侵害されていません。当社が保持するアカウントデータまたは個人情報にアクセスされたという証拠はありません。侵害は当社のマーケティングウェブサイトサーバーと、そこに保存されていたCDN APIキーを介したCDNアカウントに限定されていました。重要なのは、これは影響を受けたサイト所有者にとっての緊急性を低下させるものではありません。お客様のサイトに配信されたファイルは改ざんされており、それが、露出期間中に該当する場合でも以下の手順が重要である理由です。
今すぐ行動する必要があるのは誰か:サイトでPushEngageが有効になっており、以下の露出期間中に管理者がログインしていた場合、サイトは侵害されたものとして扱い、すぐに[確認および実行すること](#what-to-check-and-do)に従ってください。最も信頼性の高いチェックは、WordPressダッシュボードではなく、サーバー上で行われます。
露出期間
当社のCDNプロバイダーのログに基づくと、改ざんされたファイルを含む不正な構成は、2026年6月12日(UTC)の約数時間の間存在していました。一部のユーザーについては、CDNのエッジロケーションによっては6月14日(UTC)まで提供が継続されました。影響を受けたコンテンツが提供された正確な期間を確認し続けており、追加の詳細が確認され次第、この通知を更新します。
この期間中に管理者がログインした状態で影響を受けたスクリプトを読み込んだサイトのみが侵害された可能性があります。
影響を受けたファイルは、標準の埋め込みスクリプトで、以下から提供されていました:
- https://clientcdn.pushengage.com/sdks/pushengage-web-sdk.js (PushEngage)
- https://clientcdn.pushengage.com/sdks/pushengage-subscription.js (PushEngage)
何が起こったか
攻撃者は、当社のマーケティングウェブサイトをホストするサーバーにアクセスするために、サードパーティのWordPressプラグイン(UpdraftPlus)の既知の脆弱性を悪用しました。このサーバーは完全に分離されており、PushEngageを実行し、顧客データを保存するアプリケーションサーバーとは異なるホスト、異なるインフラストラクチャです。
マーケティングサーバー上で、攻撃者はCDNアカウントのAPIキーを発見しました。そのキーを使用して、アプリケーションのオリジンに一切触れる必要がありませんでした。CDNが配信していたファイルを改ざんしたため、検出して変更を元に戻すまでの間、埋め込まれたサイトに改ざんされたスクリプトが配信されていました。
その後、マーケティングサイトを修復し、新しいサーバーに移行し、CDN APIキーを含むすべての認証情報をローテーションしました。
悪意のあるコードが行ったこと
影響を受けたサイトで、ログイン中の管理者がページを読み込んだ際、コードは以下を実行しようとしました。
- WordPress管理コンテキストで実行されていることを確認し、その管理者として操作するために必要なセキュリティトークンを収集しました。
- 隠し管理者アカウントを作成しました。既知のアカウントには、developer_api1 ([email protected]) や、dev_xxxxxx の形式のランダム化されたアカウントが含まれます。
- ダッシュボードから隠れ、ダッシュボードから見えないバックドアプラグインをインストールしました。認証されていないWebシェルとコード実行エンドポイントを公開し、実質的にサイトの完全な制御を可能にしました。
- 新しい認証情報とサイトの詳細を攻撃者が制御するサーバーに送信しました。
バックドアはWordPress管理画面から隠れるため、ダッシュボードだけでは影響を受けているかどうかはわかりません。信頼できる確認方法は、サーバーのファイルシステム上およびサーバーサイドのスキャン経由で行います。
確認および実施事項
ウェブサイトでPushEngageを実行しており、かつ、公開期間中にWordPressサイトに管理者がログインしていた場合は、できるだけ早く以下の手順を実行してください。管理者がログインしていたかどうかわからない場合は、確認することをお勧めします。
- 不正な管理者アカウントを削除してください。developer_api1 / [email protected] および予期しない dev_xxxxxx アカウントを探して削除してください。
- ダッシュボードだけでなく、ファイルシステムを確認してバックドアプラグインを探してください。wp-content/plugins の下で、content-delivery-helper (“Content Delivery Helper”) または database-optimizer (“Database Optimizer”) を探してください。偽装はローテーションされるため、ダッシュボードに表示されるものよりもディスク上のものを信頼してください。見つかったものはすべて削除してください。
- サーバーサイドのマルウェアスキャンを実行してください。ペイロードはログイン中の管理者にのみ実行されたため、ダッシュボードおよびクライアントサイドのチェックは信頼できません。サーバーサイドのスキャンは、バックドアまたはその他の変更を見つけるための最も信頼性の高い方法です。
- 上記のいずれかの兆候が見つかった場合は、完全に侵害されたとみなし、すべてをローテーションしてください。管理者パスワード、アプリケーション/APIキー、データベース認証情報、およびwp-config.phpのWordPressセキュリティキー/ソルトです。バックドアは任意のコード実行を許可したため、追加の永続化が存在する可能性があります。
これらの兆候が見つからず、ウィンドウ中に管理者がログインしていなかった場合は、サイトは影響を受けていない可能性が非常に高く、標準的な衛生管理(二要素認証の有効化、ソフトウェアの更新)以上の対応は不要です。
これまでに実施したこと
- 改ざんを検出し、影響を受けたCDNファイルを直ちに元に戻しました。CDNキャッシュをパージして、クリーンなファイルが配信されるようにしました。
- CDN APIキーおよび関連するすべての認証情報を失効させ、ローテーションしました。
- Remediated the compromised marketing website and migrated it to a new server on separate infrastructure.
- Confirmed that our application servers, source code, and customer-data systems which are on separate infrastructure show no evidence of access.
- Engaged our security team and are working with our CDN provider to obtain delivery logs.
Status and ongoing risk
Our CDN configuration has been corrected and the tampered files removed, the affected credentials have been rotated, and the entry point on our marketing server has been remediated.
Remediating our systems does not clean a site that was already compromised. If your site was affected during the exposure window, the rogue administrator account and hidden backdoor plugin remain in place until you remove them using the steps above. We recommend acting promptly. We will update this page if additional relevant information emerges.
Indicators of compromise
For site owners and security teams:
Rogue accounts:
- developer_api1 / [email protected] (fixed operator account)
- dev_xxxxxx / [email protected] (randomized accounts)
Backdoor plugin disguises (rotating; check the filesystem):
- content-delivery-helper “Content Delivery Helper” v2.7.1
- database-optimizer “Database Optimizer” v2.9.4
Attacker infrastructure:
- tidio.cc (lookalike domain — NOT the legitimate tidio.com)
Unique strings:
- jX9kM2nP4qR6sT8v (encryption key used by the malware)
- WPM File Manager & Shell (backdoor shell interface)
お問い合わせ
If you have questions, need help checking your site, or notice anything unusual, contact us at [email protected]. We’re prioritizing incident-related inquiries and will keep this page updated.
Protecting our customers is a priority for us. We understand this incident may be concerning, and we regret any disruption it has caused. The information above reflects our investigation to date, and we will update this page as additional details are confirmed.
