WordPressの商用フォームプラグイン「Everest Forms Pro」に重大な脆弱性(CVE-2026-3300)が発見され、現在も活発に悪用されていることがセキュリティ企業Wordfenceのレポートで明らかになった。認証なしに任意のPHPコードを実行できるこの脆弱性は、攻撃者がWordPressサイトを完全に乗っ取ることを可能にする。パッチはすでに提供済みだが、未適用のサイトへの攻撃試行は2万9,000件以上に達している。

脆弱性の技術的詳細

CVE-2026-3300は、Everest Forms ProのComplex Calculation(複合計算)機能に存在するコードインジェクション脆弱性だ。

この機能はフォームフィールドからユーザー入力を受け取り、それをPHPのコード文字列に組み込んだうえでPHPのeval()関数で実行するという設計になっている。入力値はWordPress標準のsanitize_text_field()でサニタイズされているが、この関数はシングルクォート(')をエスケープしないという根本的な問題がある。

攻撃者はシングルクォートで文字列リテラルを閉じ、その後に任意のPHPコードを注入し、最後に//コメントアウトを付けることで、eval()に悪意あるコードを実行させることができる。実際の攻撃ではWordPressのwp_insert_user()関数が呼び出され、diksimarinaというユーザー名の管理者アカウントが不正作成されることが確認されている。

項目 内容

CVE番号 CVE-2026-3300

影響バージョン Everest Forms Pro 1.9.12以前

認証要否 不要(未認証でも攻撃可能)

深刻度 Critical

パッチリリース 2026年3月18日

悪用確認開始 2026年4月13日

Wordfenceがブロックした攻撃試行数 29,300件以上

管理者権限を奪われると何が起きるか

WordPressの管理者権限を攻撃者に奪われると、被害は単なる改ざんにとどまらない:

  • コンテンツの改ざん・削除
  • 悪意あるプラグイン・テーマのインストール
  • バックドアやウェブシェルの設置(後から繰り返し侵入可能になる)
  • データベース内の個人情報・決済情報へのアクセス
  • SEOスパムやフィッシングサイトへの転用

特にバックドアが設置された場合、脆弱性をパッチしても攻撃者の侵入口は残ったままになる。「プラグインを更新して終わり」ではなく、侵害の痕跡を確認してから対処する順序が重要だ。

今すぐ対処すべきこと

1. プラグインを最新版にアップデート

Everest Forms Pro 1.9.13以降にアップデートする。パッチは3月18日にすでに提供されており、未対応のサイト管理者は直ちに対応してほしい。

2. 不審な管理者アカウントを確認・削除

WordPress管理画面のユーザー一覧でdiksimarinaというアカウントが存在しないかを確認する。攻撃者がアカウント名を変えている可能性もあるため、「自分が作成していないアカウント」がないかを全体的に見直す。

3. アクセスログの監査

フォーム送信履歴や管理画面へのアクセスログで不審なアクティビティを確認する。

  1. 攻撃元IPのブロック(暫定対応として)

Wordfenceは主要な攻撃元として以下のIPアドレスを報告している。ファイアウォールで優先的にブロックすることを推奨する:

  • 202.56.2.126
  • 209.146.60.26

5. WordfenceなどのWAFを導入・有効化

Wordfenceの無料版でも今回のような攻撃パターンの検出・ブロックが可能だ。WordPress運営者が最低限導入すべきセーフティネットのひとつだ。

筆者の見解

正直に言えば、セキュリティ系のトピックは筆者が特に得意とする分野ではない。だが今回の脆弱性は技術的な観点から見ても「やってはいけない実装パターン」の教科書的な事例として非常に興味深い。

eval()に外部入力を渡す設計は、それだけでほぼアウトだ。sanitize_text_field()は「表示目的のサニタイズ」であり、「コード実行コンテキストにおける安全性の保証」ではない——この区別を理解していれば、そもそもこの設計は生まれなかったはずだ。入力検証はコンテキスト依存であるという原則の重要性を、改めて痛感させられる。

日本のWordPressサイト運営者として気になるのは、「プラグインのアップデートを後回しにしがち」という傾向だ。「今動いているから大丈夫」という感覚は理解できる。しかし今回のケースはパッチリリースから約3週間後に実攻撃が始まっており、猶予期間はそれほど長くない。

WordPressは世界中のWebサイトの4割以上を動かすプラットフォームだ。プラグインエコシステムは利便性の裏返しとして攻撃面積でもある。Everest Forms Proに限らず、使用中のプラグインの定期的な棚卸しと不要プラグインの削除は、最も基本的かつ効果的なリスク低減策だ。「複雑な防御より、シンプルな管理の徹底」——これがWordPressセキュリティの本質だと筆者は考えている。

出典: この記事は Critical Everest Forms Pro flaw exploited to take over WordPress sites の内容をもとに、筆者の見解を加えて独自に執筆したものです。