WordPressサイト運営者にとって、今週届いた一報は決して他人事ではない。インストール数7万を超えるリダイレクト管理プラグイン「Quick Page/Post Redirect」に、5年以上にわたって休眠状態のバックドアが潜んでいたことが明らかになった。単なるマルウェア感染とは異なり、今回はプラグインの更新機構そのものが武器として使われたサプライチェーン攻撃だ。

何が起きたか:更新チャネルの乗っ取り

発見したのはWordPressホスティングプロバイダー「Anchor」の創業者、Austin Ginder氏だ。管理下の12サイトがセキュリティアラートを発したことがきっかけで調査が始まった。

判明した経緯はこうだ。

  • 2020〜2021年頃:バージョン5.2.1および5.2.2に、WordPress.org外の第三者ドメイン(anadnet[.]com)を向いた隠しセルフアップデート機構が組み込まれた
  • 2021年2月:この自己更新機能がWordPress.org公式バージョンから削除されたが、コードレビュアーが精査する前に行われた
  • 2021年3月:5.2.1/5.2.2を使用中のサイトは、外部サーバーから改ざんされた5.2.3ビルドを静かに受信。この版にパッシブバックドアが仕込まれていた

巧妙なのは、WordPress.org公式の5.2.3と外部サーバー配布の5.2.3ではハッシュ値が異なる点だ。見た目は同じバージョン番号でも、中身はまったく別物だった。

休眠バックドアという設計

このバックドアは「パッシブ」と表現されるが、実態は二段構えの仕組みだ。

表向きの機能:寄生型SEOスパム

バックドアはthe_contentフックに接続され、ログアウト状態のユーザーのページ表示時にのみ発動する設計になっている。管理者にはほぼ気づかれない。anadnetサーバーからデータを取得し、サイトのGoogleランキングをSEOスパム目的で「貸し出す」仕組みだ。Ginder氏はこれを「寄生型SEO(Parasite SEO)」と表現しており、7万サイトのGoogle評価を丸ごとレンタルするビジネスモデルは、攻撃者にとって相当な収益源だったと推測される。

本当の脅威:任意コード実行の扉

より深刻なのは、このセルフアップデート機構が今もなお7万サイト上で動作している点だ。現時点では悪意あるサブドメインが名前解決できないため「休眠中」だが、ドメイン自体は生きている。攻撃者がそのドメインを再び使い始めれば、7万サイトに対して任意のコードを即座に実行できる状態が復活する。

対処方法

WordPress.orgはレビュー完了まで当該プラグインを一時公開停止している。影響を受けるユーザーへの推奨アクションは以下の通りだ。

  • 即座にプラグインをアンインストールする
  • クリーンな5.2.4バージョンがWordPress.org上で利用可能になり次第、再インストールする
  • サイトのアクセスログを過去数年分さかのぼり、anadnet.com宛の外部通信がないか確認する
  • 代替手段として、WordPressコア機能やほかの信頼できるリダイレクトプラグインへの移行を検討する

実務への影響

このインシデントが示す教訓は、WordPressユーザーだけでなく、サードパーティプラグインやパッケージを利用するすべての組織に適用できる。

サードパーティの更新チャネルを無条件に信頼しない

今回の攻撃の核心は「自動更新機構の乗っ取り」だ。プラグインが自律的にコードを引き込む仕組みは、便利さの裏に大きなリスクを抱えている。エンタープライズ環境では、更新元URLをWordPress.orgに限定するポリシーや、WAF(Webアプリケーションファイアウォール)による外部通信の制限が有効な対策になる。

インストール数の多さは安全の証明ではない

「7万インストール、高評価」は信頼の指標に見えるが、今回の件はそれが幻想であることを示している。定期的なセキュリティスキャン(WPScanやSucuriなど)の導入は、WordPressを業務で使うなら最低限の衛生管理だ。

ゼロトラストの考え方をワークロード通信にも適用する

Webサーバーからの外部HTTP通信を最小限に制限するネットワークポリシーがあれば、今回のような外部サーバーへのコールバックをブロックできた可能性がある。ゼロトラストはアイデンティティ管理だけでなく、ワークロードレベルの通信制御にも展開すべき考え方だ。

筆者の見解

今回のケースで最も注目すべきは、「攻撃が5年間検出されなかった」という事実だ。

寄生型SEOという手口は、サイト管理者の目には映りにくい。表示が崩れるわけでも、パフォーマンスが落ちるわけでもない。ただしGoogleのクローラーには見えている。利用者の知らないところで自分のサイトの信頼性が食い物にされ続けていた——これは非常に不快な話だが、現実だ。

もっと根深い問題は、「更新」という行為への信頼が武器になった点にある。「プラグインを最新に保て」はセキュリティの基本中の基本だが、その更新チャネル自体が汚染されているとしたら、基本を守ることが攻撃の入口になる。「今動いているから問題ない」という判断基準が、今回のように5年間という長期にわたる潜伏を許してしまう。

信頼の連鎖(サプライチェーン)をどこで検証するか——この問いへの答えを持っていない組織は、今後も同様のリスクにさらされ続ける。WordPressはウェブ全体の約43%を支えるプラットフォームだ。そのエコシステムの中に数十のプラグインを抱えるサイトは珍しくない。自社サービスとしてWordPressを運用している企業には、今一度プラグインの棚卸しと外部通信のモニタリング体制を見直すことを強くお勧めする。「使われているから安全」ではなく、「検証しているから安全」という姿勢に切り替えるタイミングだ。

出典: この記事は Popular WordPress redirect plugin hid dormant backdoor for years の内容をもとに、筆者の見解を加えて独自に執筆したものです。