WordPressサイトの運営者・開発者にとって、プラグインのアップデートは「信頼できる行為」のはずだった。その前提が4月7日、根底から崩れた。
スライダー作成プラグイン「Smart Slider 3 Pro」の更新配信システムが第三者に乗っ取られ、バックドアを複数埋め込んだ悪意あるバージョン(3.5.1.35)が正規の更新として配布されたのだ。WordPress向けの無料版だけでも90万以上のサイトで使われているプラグインだけに、影響の広がりは無視できない。
何が起きたのか
WordPressおよびJoomlaのセキュリティを専門とするPatchStackの分析によると、問題のバージョンに仕込まれたマルウェアは「完全機能を持つ多層型ツールキット」だという。プラグイン本体の機能は正常に動作したまま、バックドアだけが静かに動き続ける設計になっている点が特に悪質だ。
確認された攻撃機能
1. 認証なしリモートコード実行 HTTPヘッダーを細工するだけで、攻撃者はWordPressにログインすることなくPHPコードやOSコマンドを実行できる。これが最も危険な入口となる。
2. 隠し管理者アカウントの自動生成
wpsvc_というプレフィックスを持つ管理者権限ユーザーがデータベースに作成される。通常の管理画面には表示されない設計になっており、気づきにくい。
3. 多層的な永続化機構 攻撃の巧妙さが際立つのが、この永続化の仕組みだ。
- mu-pluginsディレクトリにキャッシュコンポーネントを装ったファイルを設置。「Must-Use Plugin(必須プラグイン)」は管理画面から無効化できず、プラグイン一覧にも表示されない
- テーマのfunctions.phpに埋め込まれるため、テーマが有効な限り生き続ける
- wp-includesディレクトリにWordPressコアクラスを偽装したPHPファイルを設置。このバックドアは
.cache_keyファイルから認証キーを読み込むため、データベースのパスワードを変えても無効化されない
4. 認証情報の窃取 サイト情報とログイン情報が自動的に外部へ送信される。
影響を受けるバージョンと推奨対応
ベンダーはバージョン3.5.1.35のみが対象と発表。対応は以下の通り。
- 汚染バージョンを使用していない場合: 3.5.1.36へ更新(または3.5.1.34以前のまま維持)
- 汚染バージョンを使用していた場合: サイト全体が侵害されたと仮定して行動する
侵害時の対応手順(必須):
- 不正ユーザー・ファイル・データベースエントリの削除
- WordPressコア・プラグイン・テーマを信頼できるソースから再インストール
- 全認証情報のローテーション(WordPress管理者・DB・FTP/SSH・ホスティング・メール)
- WordPressセキュリティキー(ソルト)の再生成
- マルウェアスキャンとログレビュー
バックアップ復元を行う場合は、タイムゾーンの差異を考慮して4月5日以前のバックアップを使用するようベンダーは推奨している。
実務への影響
IT担当者がすぐ確認すべきこと
まず自社・顧客サイトで管理しているWordPress/JoomlaにSmart Slider 3 Proが導入されているか確認する。バージョンが3.5.1.35であれば、即座に侵害対応モードに入る必要がある。
管理しているサイトが多い場合は、WP-CLIで一括確認するのが効率的だ:
出典: この記事は Smart Slider updates hijacked to push malicious WordPress, Joomla versions の内容をもとに、筆者の見解を加えて独自に執筆したものです。