認証なしでクレジットカード情報が盗まれる―。WordPress用の人気決済プラグイン「WooCommerce Square」に、ECサイト運営者にとって悪夢のような脆弱性が発見された。約8万のインストールに影響を与えるこの問題は、すでに修正版がリリースされているが、対応の遅れが致命的な被害を招く可能性がある。
WordPress用WooCommerce Squareプラグインのバージョン5.1.1以前に、安全でない直接オブジェクト参照の脆弱性が発見された。この脆弱性はCVE-2025-13457として識別され、2026年1月9日に公開された。問題はget_token_by_id関数において、ユーザーが制御するキーに対する検証が欠落していることに起因する。
これにより、認証されていない攻撃者が任意のSquare「ccof」(クレジットカードオンファイル)値を露出させることが可能となり、この値を利用して対象サイト上で不正請求を行う可能性がある。脆弱性タイプはCWE-639(ユーザー制御キーによる認可バイパス)に分類され、深刻度は高(CVSS 7.5)と評価されている。この問題はバージョン5.1.2で修正済みである。
【編集部解説】
今回の脆弱性は、ECサイト運営者にとって最も恐れるべき事態の一つです。WooCommerce Squareプラグインは約80,000のインストールに影響を与えており、現在も27,206のライブサイトで使用されています。
IDOR(Insecure Direct Object Reference:安全でない直接オブジェクト参照)とは、簡単に言えば「本来アクセスできないはずのデータに、IDを変えるだけでアクセスできてしまう」脆弱性です。今回のケースでは、攻撃者が特定のリクエストを送るだけで、認証なしに顧客のクレジットカード情報(ccofトークン)を取得できてしまいます。
この脆弱性の恐ろしさは、技術的なハードルの低さにあります。高度な攻撃技術は不要で、適切なエンドポイントへリクエストを送るだけで機密情報が露出してしまうのです。
ECサイトにとって、この種の脆弱性がもたらす影響は金銭的損失だけではありません。IBM調査によれば、データ侵害の平均コストは445万ドルに達し、決済データを含む侵害ではさらに高額になります。加えて、PCI DSSコンプライアンスの喪失、決済手数料の増加、そして何より顧客信頼の喪失という取り返しのつかないダメージが待っています。
幸いなことに、この脆弱性はバージョン5.1.2で修正されています。しかし重要なのは、このような脆弱性が「なぜ生まれたか」を理解することです。
ユーザー制御のキーに対する検証不足という根本原因は、開発プロセスにおけるセキュリティレビューの重要性を物語っています。特にECプラットフォームのような決済情報を扱うシステムでは、すべての入力値を「信頼できない」ものとして扱い、厳格な検証を行う必要があります。
今回の事案は、プラグインエコシステムの脆弱性という構造的課題も浮き彫りにしています。WordPressとWooCommerceという強力なプラットフォーム上で動作するサードパーティプラグインは、利便性と引き換えにセキュリティリスクを内包しているのです。
【用語解説】
IDOR(Insecure Direct Object Reference)
安全でない直接オブジェクト参照。ユーザーが提供する入力値(IDやキーなど)を適切に検証せずにデータベースのオブジェクトにアクセスする際に発生する脆弱性。攻撃者がURLやパラメータを変更するだけで、本来アクセスできないはずの他者のデータを閲覧・操作できてしまう。
CVE(Common Vulnerabilities and Exposures)
共通脆弱性識別子。公開されているセキュリティ脆弱性に対して付与される一意の識別番号。国際的な標準として、セキュリティコミュニティ全体で脆弱性情報を共有するために使用される。
CWE(Common Weakness Enumeration)
共通脆弱性タイプ一覧。ソフトウェアの脆弱性のタイプを分類・体系化したリスト。CWE-639は「ユーザー制御キーによる認可バイパス」を意味する。
CVSS(Common Vulnerability Scoring System)
共通脆弱性評価システム。脆弱性の深刻度を0.0から10.0のスコアで数値化する国際標準。7.5は「高(High)」に分類され、早急な対応が必要とされる。
ccof(Credit Card on File)
クレジットカードオンファイル。顧客が将来の購入のために保存したクレジットカード情報を指すトークン値。この値が露出すると、攻撃者が保存された決済情報を悪用できる可能性がある。
PCI DSS(Payment Card Industry Data Security Standard)
クレジットカード業界のデータセキュリティ基準。カード情報を取り扱うすべての事業者が遵守すべきセキュリティ要件を定めた国際標準。違反すると決済処理資格を失う可能性がある。
【参考リンク】
Wordfence – WordPress Vulnerability Database(外部)
WordPressプラグインやテーマの脆弱性情報を収集・公開するセキュリティデータベース
WooCommerce Square 公式プラグインページ(外部)
WordPress公式ディレクトリのプラグインページ。ダウンロードと更新履歴を確認できる
CVE Program – CVE-2025-13457(外部)
今回の脆弱性に割り当てられた公式CVEレコード。技術的な詳細と影響範囲が記録されている
Patchstack – WordPress Vulnerability Database(外部)
WordPress専門のセキュリティプラットフォームが運営する脆弱性データベース
【参考記事】
WooCommerce WordPress Plugin Exploit Enables Fraudulent Charges(外部)
約80,000のインストールに影響を与える脆弱性の深刻性とECサイト運営者への影響を解説
WooCommerce Square Plugin Vulnerability: Protecting Your Business(外部)
データ侵害の平均コスト445万ドル、PCI DSSコンプライアンス喪失リスクなど多角的に分析
WooCommerce Square Usage Statistics – BuiltWith(外部)
現在27,206のライブサイトで使用されていることを示す利用統計データ
CVE-2025-13457: Authorization Bypass Through User-Controlled Key(外部)
CWE-639という脆弱性タイプの特性とget_token_by_id関数の検証不足を技術的に解説
【編集部後記】
今回の脆弱性は、私たち自身が日常的に利用するECサイトの裏側で起きている問題です。便利なプラグインが支えるオンラインショッピングの世界で、一体どこまでセキュリティを意識すべきなのでしょうか。
もしあなたがWordPressでサイトを運営されているなら、使用しているプラグインの更新状況を確認してみてはいかがでしょうか。また消費者の立場からも、よく利用するECサイトがどんなセキュリティ対策を講じているか、少し気にかけてみるのも良いかもしれません。セキュリティは、提供者と利用者が共に意識することで初めて成り立つものだと感じています。
