ハッカーが30個のWordPressプラグインを買い取りバックドアを仕込み、8か月間潜伏。イーサリアムのスマートコントラクトを使ってドメインの遮断を回避した

2025 年 8 月、「Kris」を名乗る買い手が 191 行のコードに時限爆弾を仕込みました。8 か月後に爆発し、C2 通信が遮断をすり抜けました。本稿はセキュリティ研究者 Austin Ginder の報告に由来します。
（前情提要：BTCが 7.5 万ドルに衝撃！ETH が 2400 まで回復、バンスは米国とイランの交渉に「大きな進展」があるとし、暫定で 16 日に二度目の協議）
（背景補足：Gate の創業者 Dr. Han の 13 周年公開書簡：周期の交代の中で、変革の力を解き放つ）

本稿目次

Toggle

• 191 行、「互換性アップデート」という一文
• wp-config.php に 6KB の悪意あるコードが書き込まれる
• これは初めてではなく、最後でもない
• 制度の問題であって技術の問題ではない
• WordPress.org が 1 日のうちに 30 以上のプラグインを停止

30 本のプラグイン、8 か月の潜伏期間、C2 サーバーがイーサリアムのスマートコントラクトを通じて動的に更新。2026 年 4 月上旬、WordPress.org は単一の稼働日に 30 以上のプラグインを停止し、インストール数の合計は数百万にのぼりました。さらに驚くべきことに、バックドアは 2025 年 8 月 8 日の時点ですでに稼働しており、発見されるまで実に 243 日間も経過していました。

191 行、「互換性アップデート」という一文

時間を 2015 年に戻しましょう。インドのチーム WP Online Support（のちに Essential Plugin に改名）は Minesh Shah ら 3 人によって設立され、10 年間で 30 余りのプラグインを網羅するプロダクトラインを積み上げました。2024 年末までに売上高は最高値から 35〜45% 低下しており、チームは Flippa に出品して売却を選びました。

買い手は、SEO、暗号資産、オンラインのギャンブルマーケティングをまたぐ経歴を持ち、対外的に「Kris」と名乗っていました。2025 年 8 月 8 日にバージョン 2.6.7 が公開され、changelog には「互換性アップデート」という 4 文字だけが記されています。

実際の変更はこうです。class-anylc-admin.php が 473 行から 664 行へ拡張され、191 行のバックドアコードが追加されました。これが Kris による SVN での最初の commit です。

バックドアはすぐには起動しません。2026 年 4 月 5〜6 日まで休眠し、第 1 段階として wpos-analytics モジュールが analytics.essentialplugin.com へコールバック要求を送信し、wp-comments-posts.php という名前のファイルをダウンロードします。WordPress コアの wp-comments-post.php を意図的に模倣し、1 文字だけ違います。

wp-config.php に 6KB の悪意あるコードが書き込まれる

2026 年 4 月 6 日 04:22 UTC、注入が開始されました。11:06 UTC には、wp-config.php が世界中の感染サイトの被害サーバーすべてへ書き込みを完了しています。6 時間 44 分の間、いかなるプラットフォーム層のアラートも発動しませんでした。

注入された悪意あるコードは 2 つのことを行います。1 つ目は、スパムの外部リンクを埋め込むことですが、Googlebot の User-Agent に対してのみ表示し、一般訪問者やサイト管理者が見るページはまったく正常に見えるようにします。2 つ目は、認証されていない REST API エンドポイントを開くこと（permission_callback: __return_true）で、PHP のアンシリアライズ関数 fetch_ver_info() と組み合わせることで、任意関数呼び出しのリモート実行経路を形成します。

しかし、最も記録すべき設計の細部は、注入そのものではなく、C2 基盤の回避策にあります。攻撃者は、指揮ドメインの解決ロジックをイーサリアムのスマートコントラクトに書き込み、バックドアは公開ブロックチェーンの RPC ノードを通じて最新の指し先を照会します。

従来のサイバー防御であるドメインのブラックリストや DNS の遮断は、この構成に対して完全に無効です。攻撃者はコントラクトを更新するだけで、世界中の感染サイトの C2 が同期して切り替わり、いかなる制御サーバーにも接触する必要がありません。

これは初めてではなく、最後でもない

2017 年、Daley Tias が、インストール数 20 万の Display Widgets プラグインを 1.5 万ドルで買い取りました。ローン（貸付）系のスパムリンクを埋め込み、その後少なくとも 9 本のプラグインにまで波及しました。その事件の後、WordPress.org はプラグインの所有権移転に関する強制の審査メカニズムを導入していませんでした。新しい committer が初回提出を行う際に、追加の手動または自動審査を発動する仕組みもなく、既存のインストール利用者に対して「プラグインが譲渡された」旨の通知もありませんでした。

9 年経っても、プロセスはまったく同じです。Kris は買収を完了し、SVN のコミット権限を得ました。最初の commit がバックドアで、全てが規約上は適合していました。

制度の問題であって技術の問題ではない

この事件では、いかなるゼロデイ脆弱性も使用されていません。バックドアコードの品質は平凡で、191 行の中に巧妙な難読化技術は一切ありません。それが 243 日間潜伏できたのは、技術力ではなく、WordPress.org のプラグイン市場における所有権異動の段階での完全な欠落によるものです。

イーサリアムのスマートコントラクトにより C2 ドメインを解析することで、技術アーキテクチャ上の議論に値する一層は確かに追加されていますが、それは単に駆除作業をより面倒にするだけで、攻撃が成立する原因ではありません。攻撃が成立したのは、プラットフォームが誰にでもプラグインを買い取り、更新を押し込み、誰にも「互換性アップデート」が何と何を互換にしたのかを説明する必要がないようにしているからです。

WordPress.org が 1 日のうちに 30 以上のプラグインを停止

2026 年 4 月 7 日、WordPress.org のプラグインチームは Essential Plugin の作者のすべてのプラグインを恒久的に停止しました。少なくとも 30 のプラグインがすべて同じ日に停止されています。以下は Austin Ginder が確認したプラグインです：

• Accordion and Accordion Slider — accordion-and-accordion-slider
• Album and Image Gallery Plus Lightbox — album-and-image-gallery-plus-lightbox
• Audio Player with Playlist Ultimate — audio-player-with-playlist-ultimate
• Blog Designer for Post and Widget — blog-designer-for-post-and-widget
• Countdown Timer Ultimate — countdown-timer-ultimate
• Featured Post Creative — featured-post-creative
• Footer Mega Grid Columns — footer-mega-grid-columns
• Hero Banner Ultimate — hero-banner-ultimate
• HTML5 VideoGallery Plus Player — html5-videogallery-plus-player
• Meta Slider and Carousel with Lightbox — meta-slider-and-carousel-with-lightbox
• Popup Anything on Click — popup-anything-on-click
• Portfolio and Projects — portfolio-and-projects
• Post Category Image with Grid and Slider — post-category-image-with-grid-and-slider
• Post Grid and Filter Ultimate — post-grid-and-filter-ultimate
• Preloader for Website — preloader-for-website
• Product Categories Designs for WooCommerce — product-categories-designs-for-woocommerce
• Responsive WP FAQ with Category — sp-faq
• SlidersPack – All in One Image Sliders — sliderspack-all-in-one-image-sliders
• SP News And Widget — sp-news-and-widget
• Styles for WP PageNavi – Addon — styles-for-wp-pagenavi-addon
• Ticker Ultimate — ticker-ultimate
• Timeline and History Slider — timeline-and-history-slider
• Woo Product Slider and Carousel with Category — woo-product-slider-and-carousel-with-category
• WP Blog and Widgets — wp-blog-and-widgets
• WP Featured Content and Slider — wp-featured-content-and-slider
• WP Logo Showcase Responsive Slider and Carousel — wp-logo-showcase-responsive-slider-slider
• WP Responsive Recent Post Slider — wp-responsive-recent-post-slider
• WP Slick Slider and Image Carousel — wp-slick-slider-and-image-carousel
• WP Team Showcase and Slider — wp-team-showcase-and-slider
• WP Testimonial with Widget — wp-testimonial-with-widget
• WP Trending Post Slider and Widget — wp-trending-post-slider-and-widget