WordPress用テーマ「Alone – Charity Multipurpose Non-profit WordPress Theme」の脆弱性CVE-2025-5394を悪用した攻撃が活発化している。
この脆弱性はCVSSスコア9.8の重要度を持ち、セキュリティ研究者Thái An氏によって発見・報告された。脆弱性はバージョン7.8.3以下の全バージョンに影響し、2025年6月16日にリリースされたバージョン7.8.5で修正済みである。
問題の原因は「alone_import_pack_install_plugin()」関数の権限チェック欠如で、認証されていない攻撃者がAJAX経由でリモートから任意のプラグインを展開し、コード実行を達成できる。
攻撃は2025年7月12日から開始され、脆弱性公開の2日前であった。セキュリティ企業Wordfenceは120,900回の攻撃試行をブロックしており、攻撃は10個のIPアドレスから実行されている。
このテーマは9,000以上のサイトで使用されており、攻撃では「wp-classic-editor.zip」や「background-image-cropper.zip」という名前のZIPファイルがアップロードされ、PHPベースのバックドアが展開されている。対策として最新版への更新、不審な管理者ユーザーの確認、ログ監視が推奨される。
From: 
Hackers Exploit Critical WordPress Theme Flaw to Hijack Sites via Remote Plugin Install
【編集部解説】
今回のCVE-2025-5394を巡る一連の攻撃は、WordPressエコシステムが抱える構造的な脆弱性を浮き彫りにしています。
この事案の特筆すべき点は、攻撃者が脆弱性の公開より2日前からすでに悪用を開始していたことです。これは脅威アクターがWordPressのコード変更を常時監視し、パッチから脆弱性の詳細を逆解析する「パッチギャップ攻撃」の実態を示しています。セキュリティベンダーが脅威情報を公開するより先に、攻撃が活発化するこの現象は、現代のサイバーセキュリティにおける重要な課題となっています。
脆弱性の技術的背景を詳しく見ると、問題の根源は「alone_import_pack_install_plugin()」関数における権限チェックの欠如です。この関数はWordPressのAJAX機能を通じてアクセス可能で、認証されていないユーザーでもリモートからプラグインのインストールが実行できてしまいます。攻撃者は「wp-classic-editor.zip」や「background-image-cropper.zip」といった正規プラグインに偽装したファイル名でPHPバックドアをアップロードし、完全なサイト制御権を獲得しています。
この攻撃の影響範囲は非常に広範囲に及びます。「Alone」テーマは主に非営利団体や慈善団体向けに設計されており、ベルギー・サイバーセキュリティセンターの報告によると9,000以上の組織がこのテーマを使用しています。これらの組織は一般的にサイバーセキュリティに割ける予算や人的リソースが限られており、アップデートの適用が遅れがちです。結果として、このような組織のサイトが格好の標的となってしまいます。
攻撃者の手口も年々巧妙化しています。120,900回以上の攻撃試行が確認されており、10個のIPアドレスから組織的に実行されています。展開されるマルウェアは単純なバックドアにとどまらず、本格的なファイルマネージャーや隠れた管理者アカウントの作成機能まで備えており、長期間にわたる潜伏を可能にしています。
このインシデントが示すより深刻な問題は、WordPressの「テーマ」という仕組み自体の構造的リスクです。WordPressテーマは見た目のカスタマイズにとどまらず、サーバーサイドの複雑な機能を実装できるため、事実上のプラグインとして機能します。しかし、テーマの開発者は必ずしもセキュリティの専門家ではなく、このような致命的な脆弱性が生まれやすい土壌となっています。
長期的な視点で見ると、この事案はWordPressエコシステム全体のセキュリティガバナンスの見直しを迫るものです。現在のWordPressでは、テーマやプラグインの審査プロセスが限定的で、リリース後の継続的なセキュリティ監査も十分とは言えません。今後は、より厳格なコードレビュー体制の確立や、自動脆弱性スキャン機能の統合が求められるでしょう。
人工知能技術の発展も、この分野に大きな変化をもたらす可能性があります。コード解析AIを活用した自動脆弱性検出システムの導入により、開発段階での問題発見が容易になることが期待されます。一方で、攻撃者側もAIを悪用してより効率的な脆弱性発見や攻撃の自動化を進める可能性があり、防御と攻撃の技術競争は今後ますます激化するでしょう。
【用語解説】
CVE-2025-5394
Common Vulnerabilities and Exposuresの略で、脆弱性識別子システムの一つ。この識別番号により、世界共通で特定の脆弱性を管理・追跡できる。CVSSスコア9.8は最高レベルの危険度を示している。
CVSS スコア
脆弱性の深刻度を数値化する評価システム(Common Vulnerability Scoring System)。0.0から10.0までのスケールで表され、9.0以上は「Critical(致命的)」に分類される。
AJAX
Asynchronous JavaScript And XMLの略。ウェブページを再読み込みすることなく、バックグラウンドでサーバーと非同期通信を行う技術。WordPressの管理画面で多用されている。
PHP バックドア
PHP言語で作成された不正プログラム。ウェブサーバー上で動作し、攻撃者が遠隔からコマンドを実行できるよう設計される。ウェブサイトの完全制御が可能になる。
リモートコード実行(RCE)
遠隔地から対象システムに任意のプログラムコードを送信し、実行させる攻撃手法。システムの完全制御権を獲得できる最も深刻な攻撃の一つである。
パッチギャップ攻撃
ソフトウェアのパッチ(修正プログラム)が公開された際、そのパッチ内容から脆弱性の詳細を逆解析し、まだアップデートしていないシステムを狙う攻撃手法。
【参考リンク】
Wordfence(外部)
WordPressセキュリティの専門企業。500万以上のサイトで使用されるセキュリティプラグインの開発元
ThemeForest(外部)
Envato社が運営する世界最大級のWordPressテーママーケットプレイス
National Vulnerability Database (NVD)(外部)
NIST運営の脆弱性データベース。CVE識別子付きの脆弱性情報を体系的に管理
Centre for Cybersecurity Belgium(外部)
ベルギー政府のサイバーセキュリティ専門機関。今回の脆弱性について詳細な技術レポートを発行
【参考記事】
Attackers Actively Exploiting Critical Vulnerability in Alone Theme(外部)
脆弱性を発見したWordfence社による公式技術レポート。第一次情報源
WordPress Theme RCE Vulnerability Actively Exploited(外部)
Cryptika社による技術分析記事。影響サイト数が9,000以上であることを確認
A critical vulnerability in the Alone-Charity WordPress Theme(外部)
ベルギー・サイバーセキュリティセンターによる公式警告。緊急対策の必要性を強調
CVE-2025-5394 Impact, Exploitability, and Mitigation Steps(外部)
Wiz社による脆弱性データベース記事。CVSSスコア9.8の詳細な解析を提供
【編集部後記】
このWordPress脆弱性の事案を受けて、私たち読者一人ひとりがデジタル時代のセキュリティについて考える機会かもしれません。みなさんが運営されているウェブサイトやブログは大丈夫でしょうか?
今回の「パッチギャップ攻撃」のような手法を知ることで、私たちの意識も変わりそうですね。攻撃者が修正パッチから脆弱性を逆解析し、公表前に攻撃を開始するという現実は、セキュリティ対策の常識を覆すものでした。
特に印象的だったのは、非営利団体や慈善団体のサイトが標的となっていることです。社会貢献を目的とする組織ほど、限られたリソースでサイト運営を行っており、セキュリティ対策が後回りになりがちです。しかし、そういった組織こそが攻撃者に狙われやすいという皮肉な現実があります。
私たちinnovaTopiaとしても、テクノロジーの進歩と同時に生まれる新たなリスクについて、読者のみなさんと一緒に学び続けたいと考えています。セキュリティは決して「専門家だけの問題」ではありません。ウェブサイトを運営する全ての人にとって、避けて通れない課題です。
みなさんのサイト運営での経験談や、セキュリティ対策で工夫していることがあれば、ぜひコメントで共有していただけませんか?一つひとつの経験が、他の読者の方々にとっても貴重な学びになるはずです。一緒に、より安全なデジタル社会を築いていきましょう。
