コンテンツ管理システム(CMS)として知られるGhost CMSにおいて、深刻なSQLインジェクション脆弱性「CVE-2026-26980」が悪用され、700を超えるウェブサイトが「ClickFix攻撃」の標的となったことが明らかになりました。この攻撃により、侵害されたサイトには悪意あるJavaScriptコードが注入され、訪問者がマルウェアに感染する危険性が指摘されています。Ghost CMSを利用するサイト運営者はもちろん、一般のウェブサイト利用者もその手口と対策を理解することが極めて重要です。
Ghost CMSの深刻な脆弱性「CVE-2026-26980」とは
今回悪用された「CVE-2026-26980」は、Ghost CMSのContent APIに存在するSQLインジェクションの脆弱性です。共通脆弱性評価システム(CVSS)スコアは9.4と非常に高く、その危険性を示しています。この脆弱性を悪用することで、認証されていない攻撃者でもデータベースから任意のデータを読み取ることが可能となります。特に深刻なのは、サイトのAdmin APIキーを不正に入手できてしまう点です。Admin APIキーは、CMS上の記事を直接変更できる強力な権限を持つため、攻撃者はこれを利用して、サイトのコンテンツに悪意あるコードを自由に注入できるようになります。
この脆弱性は、Anthropic社が開発したAIモデル「Claude」によって発見され、2026年2月にリリースされたGhost CMSバージョン6.19.1で修正されました。しかし、修正が適用されていない多数のサイトが、その後の大規模な攻撃キャンペーンの標的となってしまったのです。
SQLインジェクションの基礎知識と危険性
SQLインジェクションとは、ウェブアプリケーションの入力フォームなどに、データベースへの不正なSQLコマンドを挿入することで、データベースを意図しない形で操作する攻撃手法です。通常、ユーザーが入力したデータは、データベースクエリの一部として安全に処理されるべきですが、脆弱性がある場合、攻撃者は悪意あるSQL文を注入し、認証情報の窃取、データの改ざん、システムの乗っ取りなど、様々な損害を引き起こす可能性があります。
今回のGhost CMSのケースでは、この手法によりAdmin APIキーが盗まれ、それがコンテンツ改ざんという形で悪用されました。CMSのデータベースには、記事コンテンツだけでなく、ユーザー情報や設定データなど、機密性の高い情報が多数含まれているため、SQLインジェクションはウェブサイトの根幹を揺るがす深刻な脅威となります。
700サイト超を標的とした「ClickFix攻撃」の手口
中国のセキュリティベンダーQiAnXin XLabは、今回の攻撃を「大規模なポイズニングキャンペーン」と表現しています。2026年5月7日に初めて検出され、大学、ブロックチェーン、人工知能(AI)、SaaS(Software-as-a-Service)、セキュリティ研究、メディア、フィンテックなど、多岐にわたる分野の700以上のウェブサイトが侵害されました。正規のウェブサイトが侵害されたことで、訪問者が攻撃を疑うことなく、マルウェア感染のリスクが高まる結果となりました。
悪意あるJavaScriptの注入からマルウェア実行まで
攻撃者は、Ghost CMSの脆弱性を悪用してAdmin APIキーを取得した後、Ghost Admin APIを利用して、侵害したサイトの記事コンテンツに悪意あるJavaScriptローダーを一括で注入しました。このJavaScriptコードは、記事ページの最下部に埋め込まれ、以下のような多段階のプロセスを経てマルウェアを拡散します。
- 2段階ローダーの実行: 注入されたJavaScriptは、まず第一段階のローダーとして機能します。これは、外部ドメイン(例:
clo4shara[.]xyz/11z77u3.php)からメインのペイロードを動的に取得するためのスクリプトです。この構造により、攻撃者は複数の侵害サイトでローダーの機能を維持しつつ、ペイロードを柔軟に切り替えることが可能になります。 - トラフィック配布スクリプトの実行: 外部ドメインから取得されるメインペイロードは、Adspectという商用クローキングサービスを利用した典型的なトラフィック配布スクリプトです。このスクリプトの主な機能は、ユーザーのブラウザから様々なフィンガープリント情報(ブラウザの種類、OS、IPアドレスなど)を収集し、サーバーにアップロードすることです。
- クローキングによる検知回避: Adspectのクローキングスクリプトは、セキュリティスキャナーやクローラーには無害なウェブページを表示し、実際の標的となるユーザーにのみ悪意あるペイロードを配信します。これにより、攻撃の検知を困難にし、マルウェア配布の成功率を高めます。このスクリプトは、任意のJavaScriptコードを実行したり、被害者のブラウザを遠隔操作したりするための19種類のコマンドをサポートしています。
- 偽CAPTCHAとClickFix攻撃: 標的と判断されたサイト訪問者には、iframe要素内に偽のCAPTCHA検証ページが表示され、「人間であることを証明するため」と称して画像認証を求められます。この偽CAPTCHAを突破すると、ユーザーは「ファイル名を指定して実行」ダイアログ(Windowsキー + R)に特定のBase64エンコードされたコマンドをコピー&ペーストするよう指示されます。これが「ClickFix攻撃」と呼ばれる手口です。
- マルウェアのダウンロードと実行: ユーザーがコマンドを実行すると、ZIPアーカイブがダウンロードされ、そこからWindowsバッチスクリプトが抽出されて実行されます。このバッチスクリプトは、PowerShellコマンドを使ってリモートドメインからDLLファイルをダウンロードし、「
rundll32.exe」で起動します。同時に、ユーザーの注意をそらすために偽のウェブページが開かれます。後の攻撃では、DLLの代わりにJavaScriptペイロードが使用されるケースも確認されています。
最終的なマルウェアのペイロード
攻撃の最終目標は、Windows実行ファイルを被害者のシステムにドロップすることです。確認されたマルウェアには、主に2つのタイプがあります。
- DLLペイロードの場合: 有効なコード署名証明書を持つ改変版の「PuTTYクライアント」がドロップされます。PuTTYは正規のSSH/Telnetクライアントですが、攻撃者はこれを悪用して、遠隔操作や情報窃取を行う可能性があります。
- JavaScriptペイロードの場合: オープンソースの「Grapeデスクトップクライアント」を改変したElectronアプリケーションのInno Setupインストーラーがドロップされます。この改変版Grapeアプリケーションは、システムへの永続的なアクセスを確立し、リモートサーバー(
web-telegram[.]ug)に30秒ごとにポーリングして、攻撃者からの指示(JavaScriptコードの実行や実行ファイルの起動など)を受け取ります。これにより、攻撃者は被害者のシステムを完全に制御下に置くことが可能になります。
Ghost CMSユーザーが直面するリスクと取るべき対策
今回のGhost CMSの脆弱性悪用は、ウェブサイト運営者にとって非常に深刻な警告です。CMSの脆弱性は、サイトの信頼性を損なうだけでなく、訪問者に直接的な被害をもたらす可能性があります。
緊急の対策とセキュリティ強化
Ghost CMSを利用しているウェブサイト管理者は、以下の対策を直ちに実行することが求められます。
- Ghost CMSの最新バージョンへのアップグレード: 脆弱性が修正されたバージョン6.19.1以降へ、できるだけ早くアップグレードしてください。これは最も基本的な、かつ最も重要な対策です。
- すべての認証情報のローテーション: Admin APIキーを含む、すべての管理アカウントのパスワードやAPIキーを直ちに再生成し、強力なものに変更してください。
- サイトのクリーンアップと監査: サイトのコンテンツやファイルシステムを詳細に調査し、悪意あるJavaScriptコードや不審なファイルが注入されていないか確認し、発見した場合は削除してください。
- アクセスログの徹底的な監査: 不審なログイン試行、APIアクセス、ファイル変更などの兆候がないか、過去のアクセスログを詳細に確認してください。
- 訪問者への通知: 侵害期間中にサイトを訪問した可能性のあるユーザーに対し、今回の事態を通知し、不審なダウンロードやファイル実行を行っていないか確認するよう促してください。また、セキュリティソフトによるスキャンを推奨することも重要です。
これらの対策は、一時的なものではなく、定期的なセキュリティチェックと継続的な運用が不可欠です。CMSのセキュリティパッチは迅速に適用し、使用していないプラグインやテーマは削除するなど、常に最小限のリスクで運用することを心がけましょう。
ウェブサイト訪問者が注意すべき点
一般のインターネットユーザーも、今回の攻撃から学ぶべき教訓があります。たとえ普段利用している信頼できるウェブサイトであっても、サイバー攻撃によって改ざんされる可能性があることを認識しておく必要があります。
- 不審なCAPTCHAや指示への警戒: ウェブサイト上で、通常とは異なるCAPTCHAの表示や、「ファイル名を指定して実行」ダイアログへのコマンド入力など、不審な指示があった場合は、決して実行しないでください。
- セキュリティソフトの導入と更新: 信頼できるセキュリティソフトを導入し、常に最新の状態に保つことで、マルウェア感染のリスクを軽減できます。
- OSやブラウザのアップデート: 使用しているOSやウェブブラウザも常に最新の状態に保ち、既知の脆弱性が悪用されるのを防ぎましょう。
- 情報源の確認: 不審な情報やダウンロードの指示があった場合、その情報が本当に正規のサイトから発信されているものか、別の信頼できる情報源で確認する習慣をつけましょう。
こんな人におすすめ
- Ghost CMSを利用しているウェブサイト管理者や開発者
- ウェブサイトのセキュリティ対策全般に関心がある人
- 最新のサイバー攻撃手法やマルウェアの拡散メカニズムについて知りたい人
- 自分のウェブサイトが侵害されていないか確認したい人
よくある質問
CVE-2026-26980はどのバージョンで修正された?
この脆弱性は、Ghost CMSのバージョン6.19.1で修正されています。Ghost CMSを利用している場合は、直ちにこのバージョン以降にアップグレードすることが強く推奨されます。
自分のサイトが侵害されているか確認する方法は?
まず、Ghost CMSがバージョン6.19.1未満の場合は、脆弱性が存在する可能性があります。次に、ウェブサイトのソースコードを検査し、記事の最下部などに不審なJavaScriptコードが注入されていないか確認してください。また、サーバーのアクセスログやエラーログを詳細に監査し、不審なAPIアクセスやファイル変更の兆候がないか確認することも重要です。セキュリティスキャナーツールを利用して、サイトの脆弱性やマルウェア感染をチェックするのも有効な手段です。
ClickFix攻撃とは具体的にどのようなものか?ClickFix攻撃は、ユーザーを欺いて特定の操作(今回のケースではWindowsの「ファイル名を指定して実行」ダイアログへのコマンド入力)を実行させることで、マルウェアをダウンロード・実行させる手法です。ユーザーが自ら操作を行うため、従来の自動ダウンロード型マルウェアよりも検知が難しく、心理的な側面を悪用するソーシャルエンジニアリングの要素が強いのが特徴です。
まとめ
今回のGhost CMSの脆弱性悪用とClickFix攻撃は、CMSのセキュリティ管理の重要性を改めて浮き彫りにしました。700を超える多種多様なウェブサイトが標的となった事実は、どのサイトも攻撃のリスクに晒されていることを示しています。サイト運営者は、CMSの定期的なアップデート、認証情報の厳重な管理、そして継続的なセキュリティ監視を怠ってはなりません。また、ウェブサイト訪問者も、不審な挙動には常に警戒し、基本的なセキュリティ対策を徹底することが、自身のデジタル資産を守る上で不可欠です。サイバー脅威は日々進化しており、常に最新の情報を入手し、適切な対策を講じ続けることが求められます。
