ワードプレスのプラグインが別の会社に買収されたりwordpress.orgのアカウントの乗っ取りによってマルウェア化した実例と事前に防ぐ方法

ワードプレスのプラグインが別の会社に買収されたりwordpress.orgのアカウントの乗っ取りによってマルウェア化した実例と事前に防ぐ方法について解説いたします。

ワードプレスの公式サイトから配布されているプラグインがマルウェアを含んでいることはある？

ワードプレスの公式サイトから配布されているプラグインはオープンソースで、世界中の技術者がそのコードを閲覧でき、また、有志の個人開発者やセキュリティー企業、ワードプレスの運営元が常にマルウェアチェックをしています。
この為、滅多にはないものの、公式サイトから配布されるプラグイン(アップデートも含め)がマルウェアに感染しており、配布されてしまった事例が何度かございます。

１　Display Widgets　マルウェア混入事件　２０１７

Display Widgetsは約20万サイトで使われていた人気プラグインですが、開発者が$15,000でプラグインを第三者に売却しました。

その後のv2.6.0リリースでマルウェアがその第３者によって混入させられこのバージョンにアップデートを行ったり、Display Widgetsを導入した多数のサイトがマルウェア被害を受けることになりました。(一説によると数万サイト)
この事件の時系列は下記のようになります。

2017年5月19日
元開発者が$15,000でプラグインを第三者（Mason Soiza名義）に売却

2017年6月21日
新オーナーが最初のアップデート v2.6.0 をリリース。この時点でマルウェアコードが密かに挿入される

2017年6月22日
SEOコンサルタントのDavid Cameron Law氏がv2.6.0の異常を発見。38MB超の外部コードをダウンロードしており、ユーザーのIPアドレス・閲覧ページ・ドメインなどを第三者サーバーに送信していることをWordPress.orgに報告

2017年6月23日
WordPress.orgがプラグインをリポジトリから削除（1回目）

2017年6月30日
攻撃者がv2.6.1をリリース。geolocation.phpを含むが「悪意あるコードとは認識されず」再掲載が許可される。新たな悪用手口として、ログイン中のユーザーにはスパムコンテンツが見えないよう隠蔽する機能が追加

2017年7月1日
WordPress.orgが削除（2回目）

2017年7月6日
v2.6.2をリリース。geolocation.phpを維持しつつON/OFFオプションを追加して「正規っぽく見せる」

2017年7月23日
別ユーザーがスパム配信を報告

2017年7月24日
WordPress.orgが削除（3回目）

2017年9月2日
v2.6.3をリリース。マルウェアはそのままで、バグ修正まで施されており「明らかに意図的な維持」と判断される

2017年9月8日
WordPress.orgが永久削除（4回目・最終）

経緯を見てわかる通り、プラグインがマルウェアを含む場合、１～２０日以内で発見され、ワードプレス公式はこのような鼬ごっこになってしまっている事例でも２０日以内にそのプラグインを配布停止していることが分かります。
この事件は、悪意のあるプラグイン買収者が何度も修正したと言って、実は悪意をもってマルウェアを混入し続けたというこれまでなかった事件となりました。

２　Social Warfare　マルウェア混入事件　２０２４

Social Warfareプラグインのマルウェア混入事件は、買収ではなく、Social Warfareの開発管理画面(wordpress.orgのプラグインアップロード管理等の機能)がハッカーによって乗っ取られて起こった(※)マルウェア混入事件となります。

※その可能性が高いと言われており、現在も調査が続けられています。

2024年6月22日
Social Warfare に悪意あるコードが混入。WordPress.org経由で自動更新として配信される

2024年6月22日
WordPress.orgプラグインレビューチームがSocial Warfareのフォーラム投稿でマルウェアに気づく

2024年6月22日
WordPress.orgプラグインレビューチームがフォーラムに投稿。「悪意ある攻撃者がSocial Warfareを乗っ取り、管理者権限を持つユーザーを作成するバージョンが配信された」と告知。同時にクリーン版 v4.4.7.3 をリリースし、即時更新を呼びかけた

また

2024年6月24日
Wordfenceが同様のコードを持つ4つの追加プラグインを発見：Blaze Widget、Wrapper Link Element、Contact Form 7 Multi-Step Addon、Simply Show Hooks
このプラグインは同日配布停止され、後日パッチされたバージョンが公開されました。

wordpress.orgアカウント乗っ取りの場合のマルウェアの発見と削除は大体数日以内に完了していますね。

対処方法あるいは注意するべき点

公式配布されているプラグインのマルウェア混入は、まれですが、起こっています。ただ、すぐに発見され修正されることもわかります。
この為、脆弱性のあるプラグインが放置されるよりは、やはりアップデートによるセキュリティー向上が圧倒的にメリットが大きいです。
但し上記事件から、下記のようなアップデートのタイミングを守った方が安全であることが分かります。

１　配布元が買収されて名称が変わっているプラグインはアップデートを１か月ほど待った方が安全
２　同じ開発者のアップデートでも、１週間ほどアップデートを待った方が安全

また、プラグイン等のアップデート後はマルウェア混入の可能性がありますので、マルウェア検査を一度行っていただくこともお勧めいたします。

【無料】ワードプレス:マルウェアスキャン＆セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご依頼・ご相談はWPドクターまでお送りください