ShapedPluginは、Webサイトの見た目をリッチにする視覚的プラグイン(カルーセル、スライダー、レビュー表示など)を数多くリリースしている、実績あるWordPressプラグイン開発提供企業です。
この開発元を標的にしたサプライチェーン攻撃について、2026年6月、衝撃的なセキュリティアラートが発表されました。
一見すると「よくあるプラグインのマルウェア感染」のようにも見えますが、中身を精査すると、話は別です。
技術的な手口や攻撃者の狙いには、従来の類似事例(一般的な脆弱性悪用やファイル改ざん)とは決定的に異なる「極めて高度で狡猾な特徴」が隠されていました。
- 攻撃対象の選別:「無料版」ではなく「有料(Pro)版」のみを狙撃
- 従来の事例:
WordPress.orgの公式ディレクトリで配布されている「無料版」のプラグインにバックドア(裏口)を仕込む、あるいは公式リポジトリのアカウントを乗っ取って一斉に悪意あるアップデートを配信する手口が主流でした。 - 今回の違い:
攻撃者は、無料版(WordPress.org)には一切手を付けず、自社サイトの独自インフラ(Easy Digital Downloads)経由で販売・配信されている「有料(Pro)版」のみにマルウェアを混入させました。無料版は公式の自動スキャンなどで検知されやすいため、あえて露出の少ない有料顧客(より価値の高い標的)だけに絞るという、非常に計画的で狡猾な「ターゲティング」が行われています。
- 従来の事例:
- 認証情報の窃盗:「2要素認証(2FA)の秘密鍵」を直接狙う進化
- 従来の事例:
従来の認証情報窃盗型マルウェアは、管理者のログインIDやパスワードを平文で盗み取る(キーロガーやフック行為)のが一般的でした。 - 今回の違い:
パスワードだけでなく、主要な2要素認証(2FA)プラグインが保存している「TOTP(タイムベースワンタイムパスワード)の秘密鍵(シード値)」をピンポイントでデータベースから探し出し、窃盗・外部送信(エクスフィルトレーション)する機能が組み込まれていました。これにより、被害者が異変に気づいて「パスワードを変更」したとしても、攻撃者は手元のシード値からワンタイムパスワードを生成できるため、2FAの防御壁を完全に無効化して再侵入することが可能になります。
- 従来の事例:
- 改ざん手法:「パッケージの書き換え」ではなく「開発パイプラインの汚染」
- 従来の事例:
サーバーに不正侵入し、すでに完成して公開されているZIPファイル(プラグインの配布パッケージ)を力技で書き換える手口が多く見られました。 - 今回の違い:
Wordfenceのフォレンジック(インシデント調査)によると、ファイル生成のタイムスタンプが極めて機械的かつ短時間に処理されていること、またGitのコミットSHA(ハッシュ値)が含まれていることなどから、開発元のCI/CD(継続的インテグレーション/継続的デリバリー)パイプラインや、プライベートGitリポジトリそのものが汚染されていた可能性が濃厚です。開発者が「正規にビルドしてリリースしたボタン」の裏で、自動的にバックドアが挿入される仕組みになっていました。
- 従来の事例:
- 高度な隠蔽(アンチ・フォレンジック)と自己消滅型ロジック
- 従来の事例:
一度設置されたバックドアは、攻撃者が使い続けるためにサーバー内に残り続けることが多く、これがファイル整合性チェックなどで見つかるきっかけになっていました。 - 今回の違い:
最初のトリガーとなるローダー(LicenseLoader.php)は、別のサーバーから本隊となる不正プラグインをダウンロードして起動させた後、証拠隠滅のために自分自身と呼び出し元のコードを書き換えて消滅する(自己消滅型)設計になっていました。さらに、ダウンロードされた不正プラグインは管理画面の「プラグイン一覧」から非表示にされるため、サイト管理者が目視で異変(見慣れないプラグインの存在)に気づくのを著しく困難にしています。
- 従来の事例:
今回のShapedPluginの事例は、「正規のライセンスを購入し、公式のアップデート手順を踏んでいる、セキュリティ意識の高いユーザ」ほど綺麗に騙されてしまうという、サプライチェーン攻撃の最も恐ろしい形を体現しています。
「有料の正規版だから安全」、とか、「2要素認証を入れているから安心」という従来のあって欲しい前提が通用しないレベルまで攻撃の質が上がっているため、以下のような一歩踏み込んだ多層防御の必要性を突きつける事例となっています。
- サーバーレベル・ファイルレベルでのスキャン:
管理画面に頼らず、サーバー側のCLI(コマンドライン)等から不正なファイル(今回で言えば woocommerce-subscription という偽プラグインのフォルダなど)がないかを直接チェックする。 - 不審なデータベース変更の監視:
wp_options テーブルへの不審なスクリプト挿入などを検知できる仕組みを持つ。
もし該当するプラグイン(Real Testimonials Pro、Product Slider Pro、Smart Post Show Proなど)を2026年4月〜6月頃にアップデート・新規インストールした心当たりがある場合は、すでにパスワードや2FAの鍵が漏洩している前提で、「プラグインの削除・クリーンアップ」だけでなく「全管理者のパスワード変更および2FAシードの再生成(リセット)」をセットで行う必要があります。
PSA: Supply Chain Compromise Targets ShapedPlugin, Backdoored Pro Plugins Distributed via Official Channels
https://www.wordfence.com/blog/2026/06/psa-supply-chain-compromise-targets-shapedplugin-backdoored-pro-plugins-distributed-via-official-channels/
| この記事をシェア |
|
|---|
