Last Updated on 2025-04-01 11:10 by admin
サイバーセキュリティ企業Sucuriは2025年3月31日、ハッカーがWordPressサイトの「mu-plugins」ディレクトリを悪用してマルウェアを隠蔽する攻撃が増加していると報告しました。
mu-plugins(Must-Use plugins)は管理画面に表示されず自動的に実行される特性を持ち、セキュリティチェックで見落とされやすいのが特徴です。
Sucuriの研究者Puja Srivastavaによると、この攻撃では主に3種類の悪意あるコードが発見されました
- 「redirect.php」- サイト訪問者を外部の悪意あるサイトにリダイレクトし、偽のブラウザアップデートを装ってマルウェアをインストールさせる
- 「index.php」- GitHubでホストされたリモートPHPスクリプトを実行するWebシェル機能を提供
- 「custom-js-loader.php」- サイト上のすべての画像を露骨なコンテンツに置き換え、外部リンクを悪意あるサイトにハイジャックするスパム注入ツール
攻撃者はGoogle reCAPTCHAやCloudflare CAPTCHAの検証を装い、WindowsコンピュータでPowerShellコマンドを実行させたり、Lumma Stealerマルウェアを配信したりしています。
セキュリティ企業Patchstackによれば、攻撃者は2025年初めから4つの重大な脆弱性(CVSSスコア9.9〜10.0)を悪用しています:WordPress Automatic Plugin、Bricksテーマ、GiveWPプラグイン、Startklar Elementor Addonsの脆弱性です。
from:Hackers Exploit WordPress mu-Plugins to Inject Spam and Hijack Site Images
【編集部解説】
この攻撃が注目される理由は、「mu-plugins」という通常あまり注目されないディレクトリを悪用している点です。mu-pluginsは「Must-Use plugins」の略で、WordPressの管理画面に表示されず、自動的に実行されるプラグインを格納する場所です。この特性を利用して、攻撃者はマルウェアを隠蔽しているのです。
この手法が巧妙なのは、通常のセキュリティチェックでは見落とされやすい点にあります。多くのWordPress管理者は、プラグイン管理画面で表示されるプラグインのみをチェックする傾向にあるため、mu-pluginsディレクトリ内のファイルは見逃されがちなのです。
特筆すべきは、これらのマルウェアがボット検知機能を持っている点です。検索エンジンのクローラーには正常なページを表示し、人間のユーザーだけを標的にすることで、長期間にわたって検出を回避する狙いがあります。これにより、サイト管理者やセキュリティツールが問題を発見しにくくなっています。
WordPressは世界のウェブサイトの約43%(2025年3月現在)で使用されており、その普及率の高さから常に攻撃のターゲットになっています。今回の攻撃手法が広まれば、個人ブログから企業サイト、政府機関のサイトまで、多くのウェブサイトが潜在的なリスクにさらされる可能性があります。
対策としては、mu-pluginsディレクトリを定期的にチェックすること、不要なファイルは削除すること、そしてWordPress本体とプラグイン、テーマを常に最新の状態に保つことが重要です。また、強力なパスワードの使用や二要素認証の導入も効果的です。
この事例は、サイバーセキュリティの世界で常に新たな脅威が生まれていることを示しています。技術の進化とともに、攻撃手法も進化し続けているのです。私たちユーザーも、セキュリティに対する意識を常に高く保ち、最新の脅威情報にアンテナを張り続ける必要があるでしょう。
【用語解説】
mu-plugins(Must-Use plugins)
WordPressの特殊なプラグイン形式で、「wp-content/mu-plugins」ディレクトリに配置されると自動的に実行される。通常のプラグインと異なり、管理画面から有効/無効の切り替えができず、常に有効な状態となる。サイト全体に必須の機能を提供する目的で使用されることが多い。
Webシェル
攻撃者がサーバーに不正にアクセスし、リモートからコマンドを実行できるようにする悪意のあるスクリプト。サーバー上でコマンドを実行する「シェル」のようなインターフェースをウェブ経由で提供することからこの名前がついている。
SEOスパム
検索エンジン最適化(SEO)を悪用し、不正なコンテンツや隠しリンクをサイトに挿入して検索ランキングを操作する手法。感染したサイトの評判を利用して、不正なサイトへのトラフィックを増やす目的で行われる。
CVSSスコア
Common Vulnerability Scoring System(共通脆弱性評価システム)の略で、セキュリティ脆弱性の深刻度を0〜10の数値で表したもの。10に近いほど危険度が高く、今回の事例では9.9〜10.0という最高レベルの脆弱性が悪用されている。
Lumma Stealer
情報窃取型マルウェアの一種で、ブラウザに保存されたパスワードやクレジットカード情報、暗号資産ウォレット情報などを窃取する。2022年後半から活動が確認され、ダークウェブで販売されている。
【参考リンク】
Sucuri(外部)
WordPressを含むウェブサイトのセキュリティに特化した企業のウェブサイト
Patchstack(外部)
WordPressエコシステムのセキュリティに特化した企業のウェブサイト
WordPress(外部)
世界で最も普及しているCMS(コンテンツ管理システム)の公式サイト
【編集部後記】
皆さんのWordPressサイト、最近チェックされましたか?目に見えない「mu-plugins」ディレクトリに不審なファイルがないか確認してみてはいかがでしょうか。
私も記事を書きながら自分のサイトのwp-content以下をチェックしました。
サイバーセキュリティは「見えない敵との戦い」。日々進化する攻撃手法に対して、私たちも知識をアップデートし続ける必要があります。「うちは大丈夫」と思っていても、気づかないうちに侵入されているかもしれません。この機会に、サイトのセキュリティ対策を見直してみませんか?
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
