Last Updated on 2025-05-02 15:02 by admin

2025年1月下旬、Wordfenceのセキュリティ研究者が、WordPressサイトを標的とした新たなマルウェアキャンペーンを発見した。

このマルウェアは「WP-antymalwary-bot.php」という偽のセキュリティプラグインとして配布されており、「addons.php」「wpconsole.php」「wp-performance-booster.php」「scr.php」などの別名でも確認されている。

このプラグインは、管理者ダッシュボードから自身を隠しつつ、攻撃者に管理者権限を付与し、REST APIを通じてリモートコード実行やテーマヘッダーへの悪意あるPHPコード注入、キャッシュプラグインのキャッシュクリアなどを可能にする。また、C&Cサーバー（キプロス所在）への定期的な報告や、他ディレクトリへのマルウェア拡散、悪意あるJavaScriptの注入による広告配信機能も備える。

さらに、「wp-cron.php」ファイルを改ざんし、プラグインが削除されても次回サイト訪問時に自動的に再作成・再有効化される自己復元機能を持つ。Wordfenceは2025年2月26日に無料ユーザー向けマルウェアシグネチャを公開し、5月23日にファイアウォールルールを無料提供予定。

2025年5月1日現在、攻撃経路の詳細は不明だが、ホスティングアカウントやFTP認証情報の漏洩、既存のWordPressやプラグインの脆弱性悪用が疑われている。C&Cサーバーはキプロスに設置されているが、攻撃者の身元は特定されていない。

また、少なくとも17のWordPressサイトでGoogle AdSenseコードの不正注入が確認されており、広告収益の窃取や不要な広告配信が行われている。

今回の事案は、WordPressの管理者や運営者に対し、プラグインディレクトリやwp-cron.php、テーマheader.phpファイルの定期的な監査と、強固な認証情報・多要素認証の導入、公式リポジトリ以外からのプラグイン導入回避など、セキュリティ対策の徹底を促している。

from:Fake Security Plugin on WordPress Enables Remote Admin Access for Attackers

【編集部解説】

今回のWordPressマルウェア事案は、セキュリティプラグインを装った「WP-antymalwary-bot.php」という偽プラグインが、グローバルに複数のWordPressサイトに感染・拡散していることが各種セキュリティ研究機関の調査で明らかになっている。

このマルウェアは、通常のプラグインと同じようなファイル構成やメタデータを持ち、表面上は正規のセキュリティプラグインに見えるため、管理者が気付かずにインストール・有効化してしまうリスクが高い。さらに、管理画面から自身を隠す機能や、削除しても「wp-cron.php」を介して自動的に再インストール・再有効化される自己復元機能を持つため、感染後の除去が非常に困難である。

技術的には、管理者権限の奪取やREST API経由でのリモートコード実行、テーマファイルへのPHPコード注入、人気キャッシュプラグインのキャッシュクリア、C&Cサーバー（キプロス所在）への定期的な通信など、多層的な攻撃手法が組み合わされている。「emergency_login」や「execute_admin_command」などのバックドア機能は、外部からの完全な管理者アクセスや任意コマンド実行を可能にしており、被害サイトの完全掌握が容易だ。

加えて、攻撃者は少なくとも17のWordPressサイトにGoogle AdSenseコードを注入し、広告収益の窃取や不要な広告配信も行っている。また、偽のCAPTCHA認証を使ってNode.jsベースのバックドアをダウンロードさせるなど、複数の攻撃ベクトルが同時並行で展開されている点も見逃せない。

この種のマルウェアがもたらす影響は、単なるサイト改ざんや広告被害にとどまらない。管理者権限の奪取による情報漏洩や、サイト訪問者への二次感染拡大、さらには攻撃者が被害サイトを「踏み台」として他のサイバー攻撃に利用するリスクも内包している。特に、WordPressのようなCMSは全世界で4割以上のシェアを持つため、影響範囲は非常に広大である。

一方で、今回の事案は「プラグインの信頼性」「公式リポジトリ以外からの導入リスク」「WordPressの自動化機能（cronやREST API）の悪用」といった、現代のCMS運用が抱える構造的な課題を浮き彫りにしている。WordPressの利便性を支える仕組みが、攻撃者にとっても強力な武器となり得ることを示している。

規制や対策の観点では、セキュリティベンダー各社が迅速にシグネチャやファイアウォールルールを配布しているものの、無料ユーザーへの提供にはタイムラグがあることが指摘されている。また、感染経路の特定や攻撃者の実態解明は依然として進行中であり、今後も亜種の登場や手口の巧妙化が予想される。

総じて、WordPress管理者や開発者は「公式プラグイン以外の導入回避」「定期的なファイル監査」「多要素認証の徹底」「不審なcronやRESTエンドポイントの監視」など、技術的・運用的な多層防御が求められる状況だ。今後もCMSプラットフォームの進化とともに、攻撃手法も進化し続けることを強く意識する必要がある。

【用語解説】

C&Cサーバー（Command and Control）
攻撃者がマルウェアを遠隔操作するための司令塔となるサーバー。

wp-cron.php
WordPressの定期タスク実行を担当する仕組み。予約投稿やプラグインの定期処理などを担う。

REST API
WordPressの機能を外部プログラムから操作できる仕組み。

バックドア
正規の認証をバイパスしてシステムにアクセスできる隠し通路。

ボットネット
マルウェアに感染した多数のコンピュータで構成される攻撃者の「ゾンビ軍団」。

【参考リンク】

Wordfence（外部）
WordPress向けのセキュリティプラグインを提供。ファイアウォールやマルウェアスキャンなどを備える。

Sucuri（外部）
Webサイトセキュリティサービス。ファイアウォール、マルウェアスキャン、ハッキング修正などを提供。

Trustwave SpiderLabs（外部）
サイバーセキュリティ研究や脅威インテリジェンスを行う専門チーム。

【参考動画】

【編集部後記】

皆さんのWordPressサイトは最近チェックされていますか？今回の偽セキュリティプラグイン事例は、「守る」はずのツールが実は「脅威」となり得ることを示しています。プラグインの導入元を確認する習慣や、定期的なファイル監査は実施されていますか？もし不審な動作に気づいた場合、どのような初期対応を取るプランがありますか？皆さんのサイト防衛策について、SNSでぜひ共有いただければ幸いです。

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む