概要
PushEngageに影響を与えるセキュリティインシデントに対応しています。攻撃者は、コンテンツ配信ネットワーク(CDN)の認証情報にアクセスし、それを使用して、これらの製品が顧客サイトに配信する改ざんされたJavaScriptファイルバージョンを提供しました。限定的な期間、当社のスクリプトを埋め込んでいるサイトは、この変更されたファイルをCDNから直接読み込みました。
悪意のあるコードは、ログイン中のWordPress管理者に対してのみ有効でした。影響を受けたサイトで実行されると、隠し管理者アカウントを作成し、隠されたバックドアプラグインをインストールしようとし、その後、攻撃者が制御するサーバーにデータを送信しました。通常のサイト訪問者は標的ではありませんでしたが、コードは攻撃者にサイトの制御を渡す可能性があるため、影響を受けたサイトは侵害されたものとして扱う必要があります。
範囲 – 到達したもの、しなかったもの:
当社のアプリケーションサーバー、ソースコード、およびPushEngageアカウント情報を保存するシステムは別個にホストされており、侵害されていません。当社が保持するアカウントデータまたは個人情報にアクセスされたという証拠はありません。侵害は当社のマーケティングウェブサイトサーバーと、そこに保存されていたCDN APIキーを介したCDNアカウントに限定されていました。重要なのは、これは影響を受けたサイト所有者にとっての緊急性を低下させるものではありません。お客様のサイトに配信されたファイルは改ざんされており、それが、露出期間中に該当する場合でも以下の手順が重要である理由です。
今すぐ行動する必要があるのは誰か:サイトでPushEngageが有効になっており、以下の露出期間中に管理者がログインしていた場合、サイトは侵害されたものとして扱い、すぐに[確認および実行すること](#what-to-check-and-do)に従ってください。最も信頼性の高いチェックは、WordPressダッシュボードではなく、サーバー上で行われます。
露出期間
当社のCDNプロバイダーのログに基づくと、改ざんされたファイルを含む不正な構成は、2026年6月12日(UTC)の約数時間の間存在していました。一部のユーザーについては、CDNのエッジロケーションによっては6月14日(UTC)まで提供が継続されました。影響を受けたコンテンツが提供された正確な期間を確認し続けており、追加の詳細が確認され次第、この通知を更新します。
この期間中に管理者がログインした状態で影響を受けたスクリプトを読み込んだサイトのみが侵害された可能性があります。
影響を受けたファイルは、標準の埋め込みスクリプトで、以下から提供されていました:
- https://clientcdn.pushengage.com/sdks/pushengage-web-sdk.js (PushEngage)
- https://clientcdn.pushengage.com/sdks/pushengage-subscription.js (PushEngage)
何が起こったか
攻撃者は、当社のマーケティングウェブサイトをホストするサーバーにアクセスするために、サードパーティのWordPressプラグイン(UpdraftPlus)の既知の脆弱性を悪用しました。このサーバーは完全に分離されており、PushEngageを実行し、顧客データを保存するアプリケーションサーバーとは異なるホスト、異なるインフラストラクチャです。
マーケティングサーバー上で、攻撃者はCDNアカウントのAPIキーを発見しました。そのキーを使用して、アプリケーションのオリジンに一切触れる必要がありませんでした。CDNが配信していたファイルを改ざんしたため、検出して変更を元に戻すまでの間、埋め込まれたサイトに改ざんされたスクリプトが配信されていました。
その後、マーケティングサイトを修復し、新しいサーバーに移行し、CDN APIキーを含むすべての認証情報をローテーションしました。
悪意のあるコードが行ったこと
影響を受けたサイトで、ログイン中の管理者がページを読み込んだ際、コードは以下を実行しようとしました。
- WordPress管理コンテキストで実行されていることを確認し、その管理者として操作するために必要なセキュリティトークンを収集しました。
- 隠し管理者アカウントを作成しました。既知のアカウントには、developer_api1 ([email protected]) や、dev_xxxxxx の形式のランダム化されたアカウントが含まれます。
- ダッシュボードから隠れ、ダッシュボードから見えないバックドアプラグインをインストールしました。認証されていないWebシェルとコード実行エンドポイントを公開し、実質的にサイトの完全な制御を可能にしました。
- 新しい認証情報とサイトの詳細を攻撃者が制御するサーバーに送信しました。
バックドアはWordPress管理画面から隠れるため、ダッシュボードだけでは影響を受けているかどうかはわかりません。信頼できる確認方法は、サーバーのファイルシステム上およびサーバーサイドのスキャン経由で行います。
確認および実施事項
ウェブサイトでPushEngageを実行しており、かつ、公開期間中にWordPressサイトに管理者がログインしていた場合は、できるだけ早く以下の手順を実行してください。管理者がログインしていたかどうかわからない場合は、確認することをお勧めします。
- 不正な管理者アカウントを削除してください。developer_api1 / [email protected] および予期しない dev_xxxxxx アカウントを探して削除してください。
- ダッシュボードだけでなく、ファイルシステムを確認してバックドアプラグインを探してください。wp-content/plugins の下で、content-delivery-helper (“Content Delivery Helper”) または database-optimizer (“Database Optimizer”) を探してください。偽装はローテーションされるため、ダッシュボードに表示されるものよりもディスク上のものを信頼してください。見つかったものはすべて削除してください。
- サーバーサイドのマルウェアスキャンを実行してください。ペイロードはログイン中の管理者にのみ実行されたため、ダッシュボードおよびクライアントサイドのチェックは信頼できません。サーバーサイドのスキャンは、バックドアまたはその他の変更を見つけるための最も信頼性の高い方法です。
- 上記のいずれかの兆候が見つかった場合は、完全に侵害されたとみなし、すべてをローテーションしてください。管理者パスワード、アプリケーション/APIキー、データベース認証情報、およびwp-config.phpのWordPressセキュリティキー/ソルトです。バックドアは任意のコード実行を許可したため、追加の永続化が存在する可能性があります。
これらの兆候が見つからず、ウィンドウ中に管理者がログインしていなかった場合は、サイトは影響を受けていない可能性が非常に高く、標準的な衛生管理(二要素認証の有効化、ソフトウェアの更新)以上の対応は不要です。
これまでに実施したこと
- 改ざんを検出し、影響を受けたCDNファイルを直ちに元に戻しました。CDNキャッシュをパージして、クリーンなファイルが配信されるようにしました。
- CDN APIキーおよび関連するすべての認証情報を失効させ、ローテーションしました。
- 侵害されたマーケティングウェブサイトを修復し、別のインフラストラクチャ上の新しいサーバーに移行しました。
- 当社のアプリケーションサーバー、ソースコード、および顧客データシステム(別のインフラストラクチャ上にあります)にアクセスされた形跡がないことを確認しました。
- セキュリティチームと連携し、CDNプロバイダーと協力して配信ログを取得しています。
ステータスと継続的なリスク
CDNの設定は修正され、改ざんされたファイルは削除され、影響を受けた認証情報はローテーションされ、マーケティングサーバーのエントリポイントは修復されました。
当社のシステムを修復しても、すでに侵害されたサイトがクリーンになるわけではありません。公開期間中にサイトが影響を受けた場合、不正な管理者アカウントと隠されたバックドアプラグインは、上記のステップを使用して削除するまでそのまま残ります。迅速な対応をお勧めします。追加の関連情報が判明した場合は、このページを更新します。
侵害の兆候
サイト所有者およびセキュリティチームの皆様へ:
不正なアカウント:
- developer_api1 / [email protected] (修正されたオペレーターアカウント)
- dev_xxxxxx / [email protected] (ランダム化されたアカウント)
バックドアプラグインの偽装(ローテーション中。ファイルシステムを確認してください):
- content-delivery-helper “コンテンツ配信ヘルパー” v2.7.1
- database-optimizer “データベースオプティマイザー” v2.9.4
攻撃者のインフラストラクチャ:
- tidio.cc (偽装ドメイン — 正規のtidio.comではありません)
ユニークな文字列:
- jX9kM2nP4qR6sT8v (マルウェアによって使用された暗号化キー)
- WPM File Manager & Shell (バックドアシェルインターフェース)
お問い合わせ
ご質問がある場合、サイトの確認にヘルプが必要な場合、または何か異常に気づいた場合は、[email protected]までご連絡ください。インシデント関連のお問い合わせを優先しており、このページは随時更新します。
お客様の保護は当社の優先事項です。このインシデントが懸念を引き起こす可能性があることを理解しており、それが引き起こした可能性のある混乱についてお詫び申し上げます。上記の情報は現時点での調査結果を反映しており、追加の詳細が確認され次第、このページを更新します。