2025年7月31日、The Hacker Newsが報告した記事によると、WordPressテーマ「Alone – Charity Multipurpose Non-profit WordPress Theme」の重大な脆弱性CVE-2025-5394(CVSSスコア9.8)を悪用した大規模なサイバー攻撃が発生している。
この脆弱性はセキュリティ研究者Thái Anによって発見された。攻撃者は2025年7月12日から攻撃を開始し、脆弱性の公開(7月14日)より2日早く悪用を始めた。Wordfenceは120,900件の攻撃試行をブロックしたと発表した。
攻撃は10個のIPアドレスから実行され、「wp-classic-editor.zip」または「background-image-cropper.zip」という名前のZIPファイルを使用してPHPベースのバックドアを設置する。脆弱性は7.8.3以前のすべてのバージョンに影響し、2025年6月16日にリリースされた7.8.5で修正されている。
今回攻撃が確認されたこのテーマは、9,000以上の組織で使用されている人気テーマである。攻撃により認証されていないユーザーが任意のファイルをアップロードし、リモートコード実行を通じて完全なサイト乗っ取りが可能となる。
From: 
Hackers Exploit Critical WordPress Theme Flaw to Hijack Sites via Remote Plugin Install
【編集部解説】
今回のCVE-2025-5394という脆弱性は、単なる技術的な不具合ではありません。これは現代のサイバーセキュリティにおける構造的な問題を浮き彫りにした事件といえるでしょう。
ゼロデイ攻撃の実態と攻撃者の進歩
最も注目すべきは、攻撃が脆弱性の公式開示(7月14日)より2日も早く始まっていたという事実です。これは、攻撃者がソフトウェアの修正パッチの内容を即座に解析し、修正前と修正後のコードを比較(パッチ・ディッフィング)することで脆弱性の本質を特定する、高度な戦術を確立していることを示唆します。開発者が善意で公開した修正パッチが、皮肉にも攻撃の引き金となる。「パッチが公開された瞬間が最も危険」という現代のパラドックスを体現する事例です。
WordPress生態系の構造的脆弱性
WordPressは全世界のウェブサイトの約40%で利用されていると言われ、その巨大な市場規模が攻撃者にとって魅力的なターゲットとなっています。特に「Alone」テーマのように9,000以上の組織で使用される人気テーマは、攻撃の成功率と影響範囲の両方が高いため、攻撃者にとって投資対効果の高い標的となります。
技術的メカニズムの危険性
この脆弱性の根本的な問題は「alone_import_pack_install_plugin()」関数における権限チェックの欠如です。これにより、認証されていないユーザーが任意のプラグインを外部ソースからインストール可能になってしまいました。攻撃者は「wp-classic-editor.zip」のような一見正当に見えるファイル名を使用し、実際にはPHPバックドアを含むZIPファイルをアップロードします。
120,900件という攻撃規模の意味
Wordfenceがブロックした攻撃試行数は120,900件に及びますが、これは氷山の一角に過ぎません。これは同社のセキュリティプラグインが導入されているサイトでの数値であり、世界中での実際の攻撃試行数はこれを遥かに上回ると推測されます。少数のIPアドレスから集中的に攻撃が行われている点も、個人犯ではなく、組織化された攻撃グループによる計画的犯行であることを示唆しています。
デジタルインフラへの長期的影響
この事件は、現代社会のデジタルインフラの脆弱性を改めて浮き彫りにしました。個人のブログから企業サイト、NPOの活動拠点まで、あらゆる組織のデジタル基盤がたった一つの脆弱性によって危険に晒される現実は、デジタル社会の持つリスクの本質を物語っています。
また、この脆弱性はWordfenceに2025年5月30日に報告されていました。セキュリティ研究者Thái Anによる発見から修正版のリリースまで、責任ある開示プロセスが機能していたことは評価できます。しかし、パッチ公開前からの攻撃開始は、このプロセスの限界も示しています。
【用語解説】
CVE-2025-5394
Common Vulnerabilities and Exposures(共通脆弱性識別子)の一つで、WordPressテーマ「Alone」に発見された脆弱性の識別番号である。CVSSスコア9.8という最高レベルの危険度を持つ。
CVSS(Common Vulnerability Scoring System)
脆弱性の深刻度を評価する国際標準の指標システムである。0.0から10.0までのスケールで表され、9.0以上は「Critical(緊急)」に分類される。
AJAX(Asynchronous JavaScript and XML)
ウェブページを再読み込みすることなく、サーバーとの非同期通信を行う技術である。WordPressでは管理画面の動的機能で広く使用されている。
リモートコード実行(Remote Code Execution)
攻撃者がターゲットシステムに対して遠隔から任意のプログラムコードを実行できる攻撃手法である。システムの完全な制御権を奪取される危険性が高い。
バックドア(Backdoor)
システムに不正に設置される隠し扉のような機能で、攻撃者が認証を迂回してシステムにアクセスできるようにする悪意のあるプログラムである。
ゼロデイ攻撃
脆弱性が公に知られる前、または修正パッチが提供される前に実行される攻撃である。防御側が対策を講じる前に攻撃される点で極めて危険とされる。
【参考リンク】
Wordfence(外部)
WordPressサイト向けの包括的なセキュリティプラグインを提供する企業
ThemeForest(外部)
WordPressテーマやプラグインを販売するマーケットプレイス
The Hacker News(外部)
サイバーセキュリティ分野の最新脅威情報を扱う専門メディア
National Vulnerability Database (NVD)(外部)
CVE-2025-5394の詳細な技術情報と評価データを提供
Centre for Cybersecurity Belgium (CCB)(外部)
ベルギーの国家サイバーセキュリティ機関
【参考記事】
Attackers Actively Exploiting Critical Vulnerability in Alone Theme(外部)
Wordfence公式ブログによる技術詳細記事でIstván Márton氏による分析結果を掲載
A critical vulnerability in the Alone-Charity Multipurpose Non-profit WordPress Theme(外部)
ベルギーサイバーセキュリティセンターによる公式警告
WordPress Theme RCE Vulnerability Actively Exploited to Take Full Site Control(外部)
Cryptika社による分析記事で攻撃者の具体的なIPアドレス情報を提供
【編集部後記】
この事案を通じて感じるのは、私たち一人ひとりがデジタル社会の当事者だということです。WordPressで運営されているサイトは、みなさんが日常的に訪れるメディア、企業サイト、個人ブログまで数多く存在します。今回の120,900件という攻撃試行数や、脆弱性公開の2日前から攻撃が始まっていた事実を見て、どのような感想を持たれましたか?また、9,000以上の組織が使用する人気のテーマが一度に危険に晒される現実について、どのような対策が必要だと思われますか?
私たちinnovaTopia編集部も、この記事を書きながら改めてセキュリティの重要性を実感しました。みなさんの率直なご意見や体験談を、ぜひSNSで共有していただけると幸いです。この問題について、一緒に考えていきましょう。
