
オランダ、カナダ、ドイツ、米国の法執行機関は、SocGholishに関連する悪性インフラを妨害し、感染していたWordPressサイト約1万5,000件を清掃したと報告されています。SocGholishは、偽のソフトウェア更新を装って利用者をだますマルウェア配布基盤として知られています。
The Hacker News:Operation Endgame Disrupts SocGholish Servers, Cleans 14,971 WordPress Sites
この記事のポイント
影響のあるシステム
- SocGholishに感染・悪用されたWordPressサイト
- 改ざんされたWebサイトを閲覧した一般利用者の端末
- Google Chrome、Mozilla Firefoxなどのブラウザ更新を装う偽通知を表示された利用者
- CMS、認証情報、管理者アカウントの管理が不十分なWebサイト
- 米国、ドイツ、フランス、インド、ブラジル、シンガポール、イタリア、インドネシア、カナダ、ベトナムなどで確認された侵害サイト
- 政府、教育、銀行、医療、金融、ITコンサルティング、公益、保険、運輸など、広い業種の組織
推奨される対策
- WordPress本体、テーマ、プラグイン、関連CMSを最新状態に更新してください。
- WordPress管理者、CMS管理者、DNS管理者、ホスティング管理者の認証情報を変更してください。
- 管理画面に不審なアカウントが作成されていないか確認し、不要または不明なアカウントを削除してください。
- Webページ内に不審なJavaScript、外部スクリプト、リダイレクト処理が追加されていないか確認してください。
- 正規ドメイン配下に、心当たりのないサブドメインが作成されていないか確認してください。
- 利用者に対して、Web閲覧中に表示される偽のブラウザ更新やソフトウェア更新を安易に実行しないよう周知してください。
- Webサイト改ざんが疑われる場合は、サイトのバックアップ、アクセスログ、変更履歴、DNS設定を確認してください。
- EDRやプロキシログを用いて、SocGholish関連インフラへのアクセスや不審なダウンロードの有無を調査してください。
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- SocGholish:FakeUpdatesとも呼ばれるJavaScriptベースのダウンローダー型マルウェアです。改ざんされたWebサイトを通じて、偽のブラウザ更新などを表示し、次段階のマルウェア配布につなげると報告されています。
- Operation Endgame:ボットネットや関連する犯罪インフラの妨害を目的とした国際的な法執行機関の取り組みです。2024年に開始されたとされています。
- WordPress:世界中で広く利用されているCMSです。Webサイトの構築・管理に使われますが、更新不備や認証情報の漏えいにより改ざんされる可能性があります。
- CMS:Content Management Systemの略です。Webサイトのコンテンツを管理するための仕組みで、WordPressもCMSの一種です。
- ダウンローダー:侵入後に別のマルウェアやツールを取得・実行する役割を持つマルウェアです。
- ボットネット:攻撃者が遠隔操作できるようになった多数の感染端末や侵害システムの集合です。
- TDS:Traffic Distribution Systemの略です。訪問者の地域、OS、ブラウザなどに応じて、別々のWebサイトや攻撃ページへ振り分ける仕組みです。
- Domain Shadowing:正規ドメインのDNS管理権限を悪用し、目立ちにくいサブドメインを作成して悪性インフラへ向ける手法です。
- ドライブバイダウンロード:利用者がWebサイトを閲覧したことをきっかけに、不正なファイルの取得やマルウェア感染につながる攻撃手法です。
- RAT:Remote Access Trojanの略です。攻撃者が遠隔から端末を操作するために使う不正プログラムです。
約1万5,000件のWordPressサイトが清掃された意味

今回の発表では、オランダの法執行機関がカナダ、ドイツ、米国の関係機関と連携し、SocGholishに関連する悪性インフラを妨害したと報告されています。この取り組みにより、SocGholishに関連する106台のサーバーが停止され、14,971件のWordPressサイトから感染が取り除かれたとされています。これは単なるサーバー停止ではなく、改ざんされたWebサイトを経由したマルウェア配布の流れを断つための対応と見るべきです。
SocGholishは、2017年から活動が確認されているJavaScriptベースのダウンローダー型マルウェアで、FakeUpdatesという名称でも知られています。主な手口は、改ざんされたWebサイトを訪問した利用者に対し、Google ChromeやMozilla Firefoxなどのブラウザ、または一般的なソフトウェアの更新を装った表示を行い、不正なファイルを実行させるものです。利用者から見ると、普段使っているWebサイト上で更新を促されるため、通常の広告や通知と誤認する可能性があります。
法執行機関は、感染していたサイトの所有者に対し、CMSの更新、認証情報の変更、不審なアカウントの削除を通知したとされています。この点は、日本国内のWordPress運用者にとっても重要です。WordPress本体、プラグイン、テーマの更新が遅れている場合や、管理者アカウントが長期間使い回されている場合、サイトがマルウェア配布の踏み台にされる可能性があります。自社サイトが直接の攻撃対象でなくても、訪問者を別の攻撃へ誘導する中継点として悪用されるリスクがあるため、Webサイトの保守は広い意味でのセキュリティ対策と捉える必要があります。
SocGholishは偽アップデートからランサムウェアにつながる入口になります
SocGholishの危険性は、単体のマルウェア被害にとどまらず、次段階の攻撃につながる入口として機能する点にあります。米FBIのサイバー部門は、SocGholishが被害端末への初期足場を確立し、それらがまとめてボットネットとして扱われ、ランサムウェア攻撃や諜報活動などの追加標的化に使われると説明しています。元記事では、SocGholishがEvil Corp、LockBit、RansomHub、Dridex、Raspberry Robinなど、複数の脅威アクターやマルウェアの次段階配布に関与してきたとされています。
また、Orange Cyberdefenseは、SocGholish感染がGholoaderやMintsLoaderといったローダーの配布につながり、その後にGhostWeaver、LockBit、AsyncRAT、NetSupport RATなどの追加ペイロードへ進む事例を観測したとされています。2025年11月には、Arctic Wolfが、RomComの脅威アクターがSocGholishを使ってMythic Agentを配布していたことを明らかにしたと紹介されています。つまり、SocGholishは特定の1組織だけが使う道具ではなく、さまざまな目的を持つ攻撃者が初期アクセスのために利用する基盤として機能している可能性があります。
この構造は、一般利用者と企業の双方に影響します。利用者が偽の更新ファイルを実行すると、その端末が攻撃者の管理下に入り、認証情報の窃取、遠隔操作、社内ネットワークへの侵入、ランサムウェア展開の足がかりになる可能性があります。企業側では、Web閲覧をきっかけに端末が侵害されるため、メール添付ファイル対策だけでは不十分です。ブラウザ上で表示される更新通知を信じないこと、正規の更新は公式アプリケーションや管理された配布経路から行うこと、EDRやプロキシログで不審なダウンロードを監視することが重要です。
TDSとDomain Shadowingにより、正規サイトの信頼が悪用されます

SocGholishの配布では、単にWebサイトを改ざんしてマルウェアを置くだけでなく、訪問者を条件に応じて振り分けるTDSが使われると説明されています。TDSは、訪問者のIPアドレス、OS、場所、端末、ブラウザ情報などに応じて、異なるページや攻撃経路へ誘導する仕組みです。FBIは、サイバー犯罪者がTDSを使うことで、従来型のファイアウォールルールを回避し、潜在的な被害者を分析したうえで、フィッシングページ、金融詐欺、その他のマルウェアへ誘導できると説明しています。
さらに、Shadowserver Foundationは、多くの侵害されたWordPressサイトがSocGholishの犯罪インフラを含むように改変されていたと述べています。特に注目すべき手法がDomain Shadowingです。これは、攻撃者が正規ドメインのDNSプロバイダーやレジストラアカウントにアクセスし、メインドメインの下に目立ちにくいサブドメインを作成する方法です。作成されたサブドメインは、一見すると正規ドメインの一部に見えるため、利用者や防御側が不審と判断しにくく、実際には攻撃者が運用する外部の悪性インフラを指す場合があります。
この仕組みでは、Webサイトの所有者が本文やトップページの改ざんだけを確認しても、DNS側に作られた不審なサブドメインを見逃す可能性があります。日本企業でも、WordPress管理画面だけでなく、DNS管理画面、ホスティング管理画面、CDN設定、外部スクリプト、リダイレクト設定を含めて確認することが重要です。特に、正規ドメイン配下の見慣れないサブドメイン、業務で使用していないホスト名、外部IPアドレスを指すレコードがないかを確認してください。攻撃者は正規ドメインの信頼を利用するため、ブランド毀損や訪問者被害につながる前に、WebとDNSの両面から管理状態を点検する必要があります。
国内組織が直ちに確認すべき点
国内組織が最初に確認すべきなのは、自社のWordPressやCMSが最新状態に保たれているかです。WordPress本体だけでなく、テーマ、プラグイン、独自カスタマイズ、管理画面、ホスティング環境も対象に含めて確認してください。今回の対応では、感染サイトの所有者に対してCMSの更新、認証情報の変更、不審なアカウントの削除が通知されたとされています。これは、SocGholish対策に限らず、Webサイト改ざん全般に対して基本となる確認事項です。
次に、Webサイト内の不審なJavaScriptやリダイレクト処理を調査してください。SocGholish感染では、直接的なJavaScript注入や、中間のJavaScriptファイルを経由して関連する注入コードを読み込む方法があると説明されています。管理者は、テンプレートファイル、テーマファイル、プラグイン領域、投稿本文、ウィジェット、外部スクリプト読み込み設定などを確認し、見慣れないコードや難読化された処理がないかを確認する必要があります。また、ユーザーの国、ブラウザ、OSなどによって挙動が変わる場合があるため、管理者の環境で見えないから安全とは判断しない方がよいです。
最後に、利用者端末側の対策も必要です。SocGholishは、偽の更新通知を通じて利用者に不正なファイルを実行させるため、Webサイト運用者だけでなく、一般企業のIT部門も利用者教育と端末防御を整える必要があります。ブラウザやソフトウェアの更新は、公式サイト、OS標準の更新機能、または社内の管理ツールからのみ実施するよう周知してください。加えて、EDR、Webプロキシ、DNSフィルタリング、メール・Web分離などを活用し、不審なダウンロードや既知のSocGholish関連インフラへの接続を検知できるようにすることが望ましいです。今回のOperation Endgameによって一部のインフラは妨害されましたが、SocGholishは長期にわたって複数の攻撃者に利用されてきたため、継続的な監視と保守が必要です。
参考文献・記事一覧
投稿者プロフィール

- CyberCrew(サイバークルー)
-
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
■ 情報セキュリティサービス台帳登録事業者
■ セキュリティコンテスト受賞歴
CTF国際大会 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10
■ 保有セキュリティ資格
GIAC GXPN、Cisco Cybersecurity Specialist、CEH Master、CEH Practical、
Cyber Security Professional Certificate、OSCP、OSCP+、CPENT、OSWP、
eCPPT、eMAPT、CRTS、SOC-100、PEN-100、
HTB Offshore Penetration Tester(Level 3)









