Sucuri社のセキュリティ研究者Puja Srivastava氏がWordPressサイトのmu-pluginsディレクトリを悪用した新しいバックドア攻撃を発見した。
攻撃者はwp-content/mu-pluginsディレクトリ内にwp-index.phpファイルを配置し、ROT13暗号で難読化されたURLから次段階ペイロードを取得してwp_optionsテーブルの_hdra_core項目に保存する。このマルウェアはテーマ
ディレクトリにpricing-table-3.phpファイルマネージャーを注入し、officialwpという管理者ユーザーを作成、wp-bot-protect.phpプラグインをダウンロードして有効化する。
さらにadmin、root、wpsupportなどの一般的な管理者ユーザー名のパスワードを攻撃者が設定したデフォルトパスワードに変更する機能を持つ。mu-pluginsは通常のプラグインリストに表示されず無効化できないため、攻撃者は持続的なアクセスを維持できる。
From: 
Hackers Deploy Stealth Backdoor in WordPress Mu-Plugins to Maintain Admin Access
【編集部解説】
このWordPressのmu-pluginsを悪用したバックドア攻撃は、従来のセキュリティ対策の盲点を突いた巧妙な手法です。攻撃者が見つけた新たな隠れ場所について、技術的な側面から詳しく解説していきます。
mu-pluginsの仕組みとその脆弱性
まず、mu-plugins(Must-Use Plugins)について詳しく説明しましょう。これはWordPressの特殊な機能で、wp-content/mu-pluginsディレクトリに配置されたプラグインは自動的に有効化され、管理画面からは無効化できません。本来は、サイト運営に必須のセキュリティ機能やパフォーマンス最適化など、絶対に停止してはいけない機能を実装するために設計されました。
しかし、この「見えない」「停止できない」という特性が、攻撃者にとって理想的な隠れ場所となってしまったのです。通常のプラグイン一覧には表示されないため、多くのサイト管理者がその存在に気づかないまま、マルウェアが継続的に動作し続けるリスクがあります。
攻撃手法の技術的特徴
今回の攻撃で特筆すべきは、ROT13暗号化とデータベース保存を組み合わせた多層的な隠蔽手法です。攻撃者は単純にファイルシステムにマルウェアを配置するのではなく、WordPressのwp_optionsテーブルという正規のデータベース領域に暗号化したペイロードを保存しています。
これにより、従来のファイルベースのスキャンでは検出が困難になり、データベースレベルでの解析が必要となります。この手法は、マルウェア検知技術の進歩に対する攻撃者側の技術的適応を示す重要な事例といえるでしょう。
サイト乗っ取りの深刻性
この攻撃が特に危険なのは、単なるデータ窃取を超えた完全なサイト乗っ取りを目的としている点です。攻撃者が「officialwp」という管理者アカウントを作成し、既存の管理者アカウントのパスワードを変更する機能により、正当な管理者を締め出すことが可能になります。
さらに、pricing-table-3.phpというファイルマネージャーを通じて、サイト内のあらゆるファイルの操作が可能となり、攻撃者は実質的にサイト全体を支配下に置くことができるのです。
セキュリティ業界への技術的示唆
この事例は、従来のセキュリティ対策の限界を浮き彫りにしています。多くのセキュリティツールは、通常のプラグインディレクトリやテーマファイルを重点的にスキャンしますが、mu-pluginsディレクトリは見落とされがちでした。
今後、セキュリティベンダーはmu-pluginsディレクトリの監視機能を強化する必要があり、これが新たな技術開発の契機となるでしょう。また、WordPressコア開発チームも、mu-pluginsの可視性向上や管理機能の改善を検討する可能性があります。
長期的な技術進化への影響
この攻撃手法の登場は、Webアプリケーションセキュリティの新たな進化段階を示しています。攻撃者がプラットフォーム固有の高度な機能を悪用する時代に入ったことで、セキュリティ対策もより包括的で深層的なアプローチが求められるようになります。
特に、CMS(コンテンツ管理システム)の設計段階から「セキュリティ・バイ・デザイン」の原則を適用し、隠れた機能や特権的なディレクトリについても十分な可視性と制御機能を確保することが重要になるでしょう。
今後の展望と対策の方向性
この事例から、Webセキュリティの未来像が見えてきます。従来のシグネチャベースの検知から、行動分析や異常検知を重視したアプローチへの転換が加速するでしょう。
また、開発者コミュニティレベルでの情報共有も重要です。Sucuri社のような専門機関による迅速な情報公開が、攻撃手法の拡散を防ぐ重要な役割を果たしています。
この攻撃手法は、Webサイト運営者だけでなく、セキュリティ業界全体にとって重要な学習機会でもあります。技術の進歩とともに進化する脅威に対し、私たちの対応能力も継続的に向上させていく必要があるのです。
【用語解説】
mu-plugins(Must-use plugins)
WordPressの特殊なプラグインシステムで、wp-content/mu-pluginsディレクトリに配置されたプラグインは自動的に有効化され、管理画面からは無効化できない。本来はサイト運営に必須の機能を実装するために設計されたが、攻撃者にとって隠れ場所として悪用されやすい特性を持つ。
ROT13
アルファベットの各文字を13文字後の文字に置き換える単純な暗号化手法。AはN、BはO、CはPとなる。暗号化と復号化が同じ処理で可能だが、セキュリティ面では非常に脆弱な難読化手法である。
wp_options
WordPressのデータベースにおける設定情報を格納するテーブル。サイトの各種設定値やプラグインのオプションなどが保存される。攻撃者はこのテーブルに悪意のあるコードを隠蔽することで検出を回避する。
バックドア
システムに不正アクセスするための隠された入り口。正規の認証プロセスを迂回して、攻撃者が継続的にシステムにアクセスできるようにする悪意のあるコードやメカニズムを指す。
ペイロード
マルウェアの実際の攻撃コード部分。ローダーによって取得・実行される実質的な悪意のある処理を含むプログラムコードである。
【参考リンク】
Sucuri(外部)
WordPressサイト向けのWebセキュリティサービスを提供する企業
The Hacker News(外部)
サイバーセキュリティに特化した国際的なニュースサイト
【参考記事】
WordPress.org – Must Use Plugins Documentation(外部)
WordPressの公式ドキュメントでmu-pluginsの仕組みと設計思想を解説
WordPress Codex – Database Description(外部)
wp_optionsテーブルの構造と用途についてのWordPress公式技術文書
【編集部後記】
今回のWordPressバックドア攻撃の事例を見て、皆さんはどう感じられましたか?もしかすると、皆さんの中にもWordPressサイトを運営されている方がいらっしゃるかもしれません。今回の件をきっかけに、一度ご自身のサイトのmu-pluginsディレクトリを確認してみてはいかがでしょうか?また、この攻撃手法から見えてくるのは、セキュリティの「見えない部分」の重要性です。普段意識していない場所にこそ、実は大きなリスクが潜んでいるのかもしれません。皆さんは、どんな「見えない部分」のセキュリティが気になりますか?
