Security News Daily

Ghost CMS大規模侵害:700サイト超のSQLi悪用とClickFix攻撃の連鎖

Ghost CMSの重大なSQLインジェクション脆弱性(CVE-2026-26980)が700以上のドメインで悪用され、ハーバード大学やDuckDuckGoなども被害に遭った大規模ClickFixキャンペーンの技術的詳細と緊急対策を解説

Ghost CMSSQLインジェクションClickFixCVE-2026-26980Webセキュリティ

今日のハイライト

Ghost CMSの重大なSQLインジェクション脆弱性(CVE-2026-26980)を悪用した大規模キャンペーンが発覚し、ハーバード大学やDuckDuckGoを含む700以上のドメインが侵害されました。攻撃者は管理APIキーを窃取し、記事に悪意あるJavaScriptを注入して「ClickFix」ソーシャルエンジニアリング攻撃を展開。2月にリリースされたパッチ適用が遅れたことで、教育機関から企業サイトまで広範な被害が発生しています。

1. Ghost CMS SQL Injection脆弱性の大規模悪用(ClickFixキャンペーン)

概要

Ghost CMS(バージョン3.24.0から6.19.0)に存在する重大なSQLインジェクション脆弱性 CVE-2026-26980 が、大規模な攻撃キャンペーンで積極的に悪用されています。中国のサイバーセキュリティ企業Qianxin傘下XLabの脅威インテリジェンス研究者による発見では、700以上のドメインが影響を受けており、大学ポータル、AI/SaaS企業、メディア、フィンテック企業、セキュリティサイト、個人ブログなど多様なサイトが標的となっています。

特に注目すべきは、ハーバード大学、オックスフォード大学、オーバーン大学、DuckDuckGo などの著名なサイトも被害に遭った点です。攻撃者はデータベースから管理者APIキーを窃取し、これを用いて記事ページに悪意あるJavaScriptコードを注入。訪問者に対して「ClickFix」と呼ばれる高度なソーシャルエンジニアリング攻撃を仕掛けています。

この脆弱性は2026年2月19日にリリースされたGhost CMS 6.19.1で修正済みですが、多くのサイトがセキュリティ更新を適用していないことが被害拡大の主因となっています。

考察

即座の対応が必要な技術的影響

今回の脆弱性は「認証不要(Unauthenticated)」でデータベースの任意データ読み取りが可能という点で極めて危険です。特に管理者APIキーの窃取は、Ghost CMSの全機能(ユーザー管理、記事編集、テーマ変更)へのフルアクセスを意味します。実務上、以下の対応が緊急事項です:

  1. 即座のバージョンアップ:6.19.1以降への更新が必須
  2. APIキーの完全ローテーション:過去に使用したすべての管理者APIキーを無効化し再発行(侵害の有無に関わらず)
  3. 記事コンテンツの精査:注入された悪意あるJavaScriptの除去(XLabが公開したIoCリストを参照)
  4. ログ保持の確立:少なくとも30日間の管理者APIコールログを保持し、異常アクセスの痕跡を確認

ClickFix攻撃の進化とリスク

今回のキャンペーンで特筆すべきは、SQLiによるサイト改竄と「ClickFix」ソーシャルエンジニアリングの組み合わせです。攻撃チェーンは以下のように高度化しています:

  • 第一段階:SQLiでAPIキーを窃取し、記事に軽量JavaScriptローダーを注入
  • 第二段階:ローダーが攻撃者インフラからクローキングスクリプトを取得し、訪問者をフィンガープリンティング(攻撃対象か判定)
  • 第三段階:対象者には偽のCloudflare認証画面(iframe)が表示され、「人間証明」としてコマンドプロンプトに特定コマンドを貼り付けるよう指示
  • 第四段階:貼り付けられたコマンドがDLLローダー、JavaScriptドロッパー、またはElectronベースのマルウェア(UtilifySetup.exe)をダウンロード・実行

この手法は、従来のドライブバイダウンロードとは異なり、ユーザー自身に悪意あるコードを実行させる点で検知回避率が高く、企業環境でも有効な攻撃経路となり得ます。

攻撃者間の競合と持続的脅威

XLabの観測では、少なくとも2つの異なる攻撃グループが同じ脆弱サイトを標的にしており、時に「再感染」や「他の攻撃者のスクリプトを削除して自らのものに差し替える」といった活動が確認されています。これは、Ghost CMSサイトが**「攻撃者にとっての共有資産」**と化していることを示唆し、一度侵害されたサイトは複数の脅威アクターに利用されるリスクが高いことを意味します。

パッチ管理のギャップと教訓

2月にパッチがリリースされてから3ヶ月以上経過しているにもかかわらず、700以上のサイトが未対応という現状は、CMS運用における「更新の優先度付け」の課題を浮き彫りにしています。Ghost CMSはNode.jsベースで比較的軽量ですが、カスタムテーマやプラグインとの互換性を気にして更新を先延ばしにする運用が、今回のような認証不要のRCE(実質的な)リスクを招いています。

参照元

まとめ

Ghost CMSのCVE-2026-26980を悪用した今回のキャンペーンは、**「公開CMSの未パッチ脆弱性」+「信頼性の高いサイトでの watering hole 攻撃」+「高度なソーシャルエンジニアリング(ClickFix)」**という三段階の攻撃チェーンが、実際に大規模に成功している事例です。

特に教育機関や検索エンジンなど、ユーザーが高い信頼を寄せるサイトが改竄されているため、エンドユーザーの「見慣れたサイトは安全」という前提が崩れています。組織としては、Ghost CMSの管理画面を持つ場合は即座のパッチ適用とキーローテーションを、一方でエンドポイント保護の観点からは「コマンドプロンプトへのコピペを促すWebページ」に対する検知ルールの追加や、ユーザー教育の見直し(「CAPTCHAはコマンドラインを使わない」という基本の再確認)が必要です。

今後も、パッチ公開後の「猶予期間」を悪用した攻撃(Exploit After Release)は増加傾向にあり、CMS運用におけるセキュリティ更新の「猶予」は許容できない時代となっています。

参照元