Smart Slider 3 Proが乗っ取られた——90万サイトに迫るバックドアの全貌
公式のアップデート通知を信じて「更新」ボタンを押しただけで、サイトが完全に乗っ取られる。Smart Slider 3 Pro——WordPress・Joomla向けの人気スライダープラグインで、90万以上のウェブサイトにアクティブインストールされている製品が、サプライチェーン攻撃によって武器化された。
2026年4月7日、攻撃者は開発元Nextend社のアップデートサーバーを侵害し、バックドア入りのバージョン3.5.1.35を正規の更新として配信した。検出されるまでの約6時間、この悪意あるアップデートは何も知らないサイト管理者たちに届き続けた。
本記事では、この攻撃の技術的メカニズム、バックドアの詳細な動作、そして日本のWordPressユーザーが今すぐ取るべき対策を徹底解説する。
サプライチェーン攻撃とは何か
ソフトウェアの「信頼の連鎖」を狙う
サプライチェーン攻撃とは、ソフトウェアの開発・配布プロセスそのものを侵害する攻撃手法だ。エンドユーザーを直接攻撃するのではなく、ユーザーが信頼している配布元やアップデート経路を乗っ取ることで、正規のソフトウェアに見せかけてマルウェアを配布する。
通常のマルウェア攻撃であれば、不審なメールの添付ファイルや怪しいウェブサイトからのダウンロードなど、ユーザーが「何か怪しい」と気づくきっかけがある。しかしサプライチェーン攻撃では、正規のアップデート通知が表示され、正規の配信経路から届くため、セキュリティ意識の高いユーザーでも見抜くことが極めて難しい。
今回のSmart Slider 3 Proの事例は、まさにこのパターンだ。WordPress管理画面に「プラグインの更新が利用可能です」と表示され、管理者が普段通りに更新を適用した——それだけで、サイトは完全に侵害された。
なぜWordPressプラグインが狙われるのか
WordPressは世界のウェブサイトの約43%で使われているCMSであり、そのエコシステムには6万以上のプラグインが存在する。特にプレミアム(有料)プラグインは、WordPress.orgの公式リポジトリではなく開発元独自のサーバーからアップデートを配信するケースが多い。
この仕組みが攻撃者にとって魅力的なのは以下の理由だ。
- 集中管理: 1つのアップデートサーバーを侵害するだけで、数十万〜数百万のサイトにマルウェアを配布できる
- 自動更新: 多くのサイトが自動更新を有効にしており、管理者の判断を経ずにマルウェアがインストールされる可能性がある
- 検証の欠如: WordPress.orgの公式リポジトリにはコードレビュープロセスがあるが、サードパーティの配信サーバーにはそのような仕組みがない場合が多い
- 高い権限: プラグインはWordPressのコア機能にアクセスでき、データベースの読み書き、ファイルシステムへのアクセス、管理者権限の操作が可能
Smart Slider 3 Pro攻撃の時系列
今回の攻撃は、短時間ながら極めて精密に実行された。
| 日時 | 出来事 |
|---|---|
| 2026年4月7日(推定未明) | 攻撃者がNextend社のアップデートサーバーに侵入 |
| 同日 | 改ざんされたバージョン3.5.1.35が正規アップデートとして配信開始 |
| 約6時間後 | セキュリティ研究者が異常を検知、Nextend社に通報 |
| 同日 | Nextend社がアップデートサーバーを停止、調査開始 |
| 数日以内 | クリーンなバージョン3.5.1.36がリリース |
| 2026年4月9-10日 | Patchstack、BleepingComputer、The Hacker News等が詳細分析を公開 |
注目すべきは、攻撃者がわずか6時間という短い配信期間でも十分な成果を得られると判断していた点だ。90万以上のアクティブインストールがあれば、6時間でも相当数のサイトがアップデートを適用する。
この図はSmart Slider 3 Proサプライチェーン攻撃の全体像を示しています。攻撃者がNextendサーバーを侵害してから、バックドアがWordPressサイトに展開されるまでの流れと、3つの永続化メカニズムを図解しています。
バックドアの技術的詳細
Patchstackの詳細分析によると、今回のバックドアは「多層構造の完全機能リモートアクセスツールキット」と呼ぶべき高度なものだった。単なるWebシェルではなく、検知回避・永続化・情報窃取を組み合わせた本格的な攻撃キットだ。
ステージ1:認証なしリモートコマンド実行
最も危険なのが、認証なしで動作するリモートコマンド実行バックドアだ。
仕組みは以下の通りだ。
- 攻撃者がHTTPリクエストに特殊なヘッダー
X-Cache-Status: nw9xQmK4を付与して送信 - バックドアがこのヘッダーを検出すると、別のヘッダー
X-Cache-Keyの値をBase64デコード - デコードされた値を
shell_exec()に直接渡してOSコマンドとして実行
恐ろしいのは、このバックドアがすべてのページロード時に動作する点だ。フロントエンドのページ表示時にも実行されるため、WordPress管理画面にログインする必要すらない。攻撃者はサイトの任意のURLにアクセスするだけで、サーバー上で任意のコマンドを実行できる。
ステージ2:認証付きバックドア
2段階目のバックドアは、WordPressオプション _wpc_ak に保存された秘密鍵で認証を行う。GETパラメータ _chk で認証後、2つのモードで動作する。
- PHPモード(
m=php): POSTパラメータdをBase64デコードしてeval()で実行。任意のPHPコードを実行可能 - シェルモード(デフォルト): 同じパラメータをOSコマンドとして実行。
shell_exec、exec、systemなど6つの関数でフォールバックチェーンを実装しており、サーバーの設定でいずれかの関数が無効化されていても別の関数で実行を試みる
3箇所への永続化メカニズム
攻撃者は、バックドアの除去を困難にするため3つの異なる場所にバックドアを設置する。1つを除去しても残りが動作し続ける冗長構成だ。
| 永続化場所 | ファイル名 | 特性 |
|---|---|---|
| Must-Useプラグイン | wp-content/mu-plugins/object-cache-helper.php | 自動読み込み、管理画面のプラグイン一覧に表示されない、無効化不可 |
| テーマ functions.php | アクティブテーマの functions.php | テーマがアクティブである限り自動読み込み |
| WPコアファイル偽装 | wp-includes/class-wp-locale-helper.php | 正規のWordPressコアファイルに見せかけ |
特にMust-Useプラグイン(mu-plugins)は巧妙だ。WordPressでは wp-content/mu-plugins/ ディレクトリに置かれたPHPファイルは自動的に読み込まれ、管理画面のプラグイン一覧には表示されず、無効化もできない。ファイル名を object-cache-helper.php とすることで、正規のキャッシュ関連コンポーネントに偽装している。
隠し管理者アカウントの作成
バックドアは不正な管理者アカウントを作成し、さらにそれを管理者の目から完全に隠蔽する。
作成されるアカウント情報:
- ユーザー名:
wpsvc_+ サイトURLから生成した4文字ハッシュ(例:wpsvc_a3f1) - メールアドレス:
kiziltxt2@gmail.com - 表示名: "WordPress Service"
- 権限: Administrator(最高権限)
不可視化の仕組み:
WordPressの pre_user_query フィルターにフックし、管理画面のユーザー一覧クエリから隠しアカウントのIDを除外する。さらに views_users フィルターでユーザー数の表示も調整し、数値の矛盾が発生しないようにする。つまり、管理画面を見ただけでは不正アカウントの存在に気づくことができない。
認証情報の窃取とC2通信
バックドアは以下の情報をWordPressデータベースのオプションテーブルに保存する。
_wpc_ak: 24文字の16進数認証鍵_wpc_uid: 隠しユーザーのID_wpc_uinfo: Base64エンコードされたJSON(平文のユーザー名、パスワード、メールアドレス)
これらの情報はC2(コマンド&コントロール)サーバーに送信される。
C2エンドポイント: https://wpjs1.com/api/v3/register-agent
送信されるデータには、サイトURL、隠しアカウントの平文認証情報、WordPress管理者メール、PHPバージョン、サーバーソフトウェア情報、永続化レイヤーのステータスが含まれる。SSL証明書の検証をスキップ(sslverify: false)する設定も含まれており、中間者攻撃への脆弱性も残す。
影響を受けるバージョンと影響を受けないバージョン
| 項目 | 詳細 |
|---|---|
| 影響を受けるバージョン | Smart Slider 3 Pro バージョン 3.5.1.35 のみ |
| 影響を受けないバージョン | 3.5.1.34以前、3.5.1.36以降 |
| 無料版 | 影響なし(WordPress.org公式リポジトリから配布、今回の侵害とは無関係) |
| Joomla版 | Pro版の同バージョンが影響を受けた |
| 侵害期間 | 2026年4月7日、約6時間 |
重要な点は、無料版は影響を受けていないということだ。無料版はWordPress.orgの公式プラグインリポジトリから配布されており、Nextend社の独自アップデートサーバーは使用していない。今回侵害されたのはNextend社のサーバーであるため、公式リポジトリ経由の無料版ユーザーは安全だ。
過去のWordPressサプライチェーン攻撃との比較
今回のSmart Slider 3 Pro攻撃は、WordPressエコシステムで繰り返されるサプライチェーン攻撃の最新かつ最大級の事例だ。
この図は2024年から2026年にかけてのWordPressプラグインに対するサプライチェーン攻撃事例を比較しています。Smart Slider 3 Proの事例は影響規模と攻撃の巧妙さの両面で際立っています。
2024年6月:WordPress.org開発者アカウント侵害
攻撃者が過去のデータ漏洩で流出したパスワードを使い、WordPress.orgの開発者アカウント5件を乗っ取った。Social Warfare、BLAZE Retail、Contact Form 7 Multi Step Addonなど5つのプラグインに不正コードが注入され、約3.5万サイトが影響を受けた。当時WordPress.orgでは開発者アカウントに二要素認証が義務化されていなかった。
2025年7月:Gravity Forms侵害
フォームビルダープラグインの大手Gravity Formsが、公式サイトのダウンロードインフラを侵害された。Smart Slider 3 Proと同様、プレミアムプラグインの独自配布経路が狙われた事例だ。
2025年11月:King Addons for Elementor
CVE-2025-8489により、未認証の攻撃者が管理者として登録可能になる脆弱性。Wordfenceは4.8万件以上の悪用試行をブロックした。こちらはプラグイン自体の脆弱性であり、サプライチェーン攻撃とは異なるが、WordPressプラグインのリスクを示す事例だ。
2026年4月:Essential Plugin一括買収攻撃
「Kris」と名乗る人物がEssential Pluginの全プラグイン(25件)を6桁ドル規模で買収し、「WordPress 6.8.2互換性チェック」と称するアップデートでPHPデシリアライゼーションバックドアを含む191行のコードを注入した。WordPress.orgプラグインチームが同日中に全プラグインを永久閉鎖した。
Smart Slider 3 Proが突出している理由
今回のSmart Slider 3 Pro攻撃がこれまでの事例と比較して特に深刻な理由は以下の通りだ。
- 影響規模の大きさ: 90万以上のアクティブインストール。過去の事例を桁違いに上回る
- 攻撃の巧妙さ: 3箇所への冗長な永続化、管理者アカウントの不可視化、6つの実行関数のフォールバックチェーンなど、プロフェッショナルなマルウェア開発の痕跡
- 信頼の悪用: 正規のアップデートサーバーから配信されたため、従来のセキュリティ対策(不審なダウンロード元のブロックなど)が無力
- 検知の困難さ: mu-pluginsやWPコアファイル偽装など、一般的なスキャンでは発見しにくい場所に設置
侵害指標(IOC)チェックリスト
自サイトが影響を受けたかどうか、以下の項目を確認してほしい。
ファイルの確認
wp-content/mu-plugins/object-cache-helper.phpが存在するかwp-includes/class-wp-locale-helper.phpが存在するかwp-includes/.cache_keyが存在するか- アクティブテーマの
functions.phpに_wpc_akという文字列が含まれるか
データベースの確認
wp_optionsテーブルに以下のオプションが存在するか確認する。
_wpc_ak(認証鍵)_wpc_uid(隠しユーザーID)_wpc_uinfo(認証情報)
ネットワークの確認
wpjs1.comへの外部通信があるか(サーバーのアクセスログ確認)X-Cache-Status: nw9xQmK4ヘッダーを含むリクエストがあるか_chkGETパラメータを含むリクエストがあるか
日本のWordPressユーザーへの影響
日本での普及状況
Smart Slider 3は日本でも多数のWordPressサイトで使用されている。特に以下のようなケースで利用が多い。
- コーポレートサイト: トップページのヒーロースライダーとして
- ECサイト: 商品のプロモーションスライダーとして
- ポートフォリオサイト: 作品紹介のギャラリースライダーとして
- ランディングページ: ビジュアル訴求のためのフルスクリーンスライダーとして
日本のWordPress市場はグローバルに比べてプレミアムプラグインの利用率が高く、Smart Slider 3 Proのユーザーも相当数存在すると推定される。
日本特有のリスク
日本のWordPressユーザーにとって、今回の攻撃には特有のリスクがある。
1. 情報到達の遅れ: セキュリティ情報は英語で先行して公開されるため、日本語圏のユーザーが対応に入るまでにタイムラグが生じる。今回も英語圏での報道は4月9-10日だったが、日本語での詳報はそれよりも遅れる可能性が高い。
2. 運用体制の課題: 中小企業のWordPressサイトでは、セキュリティ専任の担当者がいないケースが多い。「プラグインの更新は定期的に行う」という運用ルールがある場合、今回のような悪意あるアップデートも無条件に適用してしまうリスクがある。
3. 制作会社への依存: 多くの日本企業はウェブ制作会社にWordPressの保守を委託している。制作会社が今回の事態を認識し、管理下の全サイトを確認するまでに時間がかかる可能性がある。
個人情報保護法との関連
今回のバックドアは管理者の認証情報を平文で窃取し、外部サーバーに送信する。もしサイトに会員機能やECの決済情報が含まれる場合、個人情報保護法に基づく漏洩報告義務が発生する可能性がある。2022年の改正個人情報保護法では、個人情報の漏洩が発覚した場合、個人情報保護委員会への報告と本人への通知が義務化されている。
影響を受けたサイト運営者は、法的対応も含めた包括的な対応が必要だ。
セキュリティ対策の強化
今回の事件を教訓に、WordPressサイトのセキュリティを根本的に見直すべきだ。
パスワード管理の徹底
まず基本中の基本として、WordPress管理者アカウントのパスワード管理を徹底すべきだ。1Passwordのようなパスワードマネージャーを使い、すべてのアカウントに一意の強力なパスワードを設定することが重要だ。特にWordPressの管理者パスワード、FTP/SFTP認証情報、データベースのパスワードは、定期的なローテーションも検討してほしい。
プラグインの更新ポリシー
「すべてのプラグインを即座に自動更新する」というポリシーは、今回のような攻撃に対して脆弱だ。以下のような段階的な更新ポリシーを検討すべきだ。
- ステージング環境でのテスト: 本番環境に適用する前に、ステージング環境で更新の動作確認を行う
- 更新のタイミング: リリース直後ではなく、数日〜1週間のバッファを設ける(今回は6時間で検出されたが、常にそうとは限らない)
- セキュリティ情報の監視: Wordfence、Patchstack等のWordPressセキュリティベンダーの通知を購読する
ファイル整合性監視
WordPressコアファイルやプラグインファイルの変更を検知する仕組みを導入すべきだ。
- Wordfence: ファイルスキャン機能で既知のマルウェアパターンを検出
- Sucuri: サーバーサイドのファイル整合性監視
- OSSEC / Wazuh: より高度なホストベースの侵入検知システム
WAF(Web Application Firewall)の導入
Cloudflare、Sucuri、WordfenceなどのWAFを導入することで、バックドアへのアクセス(不審なHTTPヘッダーやパラメータ)をブロックできる可能性がある。ただし、今回のようなゼロデイのバックドアに対しては、シグネチャベースのWAFでは初期段階での検出が難しい点は理解しておくべきだ。
被害を受けた場合の復旧手順
Smart Slider 3 Pro 3.5.1.35をインストールしてしまった場合の対応手順は以下の通りだ。
即時対応
- サイトをメンテナンスモードに設定: これ以上の被害拡大を防ぐ
- Smart Slider 3 Proを3.5.1.36に更新(または3.5.1.34にロールバック)
- すべての管理者パスワードを変更: WordPress管理者、FTP/SFTP、データベースのすべて
- APIキー・シークレットキーの再生成: WordPressのセキュリティキー(wp-config.phpのAUTH_KEY等)を含む
マルウェア除去
wp-content/mu-plugins/object-cache-helper.phpを削除wp-includes/class-wp-locale-helper.phpを削除wp-includes/.cache_keyを削除- アクティブテーマの
functions.phpから不正コードを除去(_wpc_akを含む行) - wp_optionsテーブルから
_wpc_ak、_wpc_uid、_wpc_uinfoを削除 wpsvc_で始まる不正ユーザーアカウントを削除
事後確認
- サーバーのアクセスログで
wpjs1.comへの通信を確認 - 不審なcronジョブがないか確認
- 他のファイルへの改ざんがないかフルスキャンを実行
- 可能であれば4月5日以前のバックアップからの復元を検討(最も確実な方法)
まとめ:今すぐ取るべきアクションステップ
Smart Slider 3 Proのサプライチェーン攻撃は、「公式アップデートを適用する」というセキュリティのベストプラクティスそのものが武器化されうることを示した。すべてのWordPressサイト運営者が今すぐ取るべきアクションは以下の3つだ。
-
即座に確認: Smart Slider 3 Proを使用している場合、バージョンを確認する。3.5.1.35がインストールされていたら、上記のIOCチェックリストに従って侵害の有無を確認し、3.5.1.36に更新またはロールバックする
-
セキュリティ体制の見直し: プラグインの自動更新ポリシー、ファイル整合性監視、WAFの導入状況を見直す。特にプレミアムプラグインは、リリース直後のアップデート適用にリスクがあることを認識し、ステージング環境でのテストを運用に組み込む
-
緊急時の対応計画を策定: サプライチェーン攻撃は今後も発生する。インシデント発生時の対応手順(復旧手順、連絡体制、法的対応)を事前に策定しておく。特に個人情報を扱うサイトでは、個人情報保護法に基づく報告義務への対応フローも準備しておくべきだ
WordPressのエコシステムは便利で強力だが、その「信頼の連鎖」が破られたとき、影響は一瞬で数十万サイトに波及する。今回の事件を「他人事」と捉えず、自サイトの防御を今一度点検してほしい。
「セキュリティ」カテゴリの記事
- セキュリティ
FortiClient EMSにCVSS 9.1のゼロデイ——認証不要で任意コード実行
- セキュリティ
Marimo脆弱性CVE-2026-39987——公開10時間でroot奪取が始まった
- セキュリティ
偽WhatsAppアプリでスパイウェア配布——イタリア企業SIOが200人を標的に
- セキュリティ
React2ShellでNext.js 766ホスト侵害——CVSS 10.0の認証情報窃取攻撃
- セキュリティ
ロシアAPT28が家庭用ルーターを乗っ取りM365認証を大量窃取
- セキュリティ
Docker脆弱性CVE-2026-34040——1リクエストでホスト全権奪取の衝撃