UpdraftPlusに深刻な脆弱性、300万サイトが認証迂回の危険

  1. ホーム   /  SEO対策   /  UpdraftPlusに深刻な脆弱性、300万サイトが認証迂回の危険
UpdraftPlusに深刻な脆弱性、300万サイトが認証迂回の危険
2026年6月13日 0

UpdraftPlusに深刻な脆弱性、300万サイトが認証迂回の危険

WordPressの人気バックアッププラグイン「UpdraftPlus Backup & Migration」に深刻な脆弱性が発見された。インストール数は300万サイトを超えており、影響範囲は極めて広い。この問題を悪用されると、ログイン情報を持たない攻撃者がサイトの管理者権限を取得し、悪意あるプラグインを設置できる。

脆弱性が確認されたのはバージョン1.26.4以前の全バージョン。開発元はすでに修正版1.26.5をリリースしている。Wordfenceの報告によれば、24時間で8,000件を超える攻撃が観測されており、早急な対応が求められる。

脆弱性の概要と影響範囲

脆弱性の概要と影響範囲

UpdraftPlusはWordPressサイトのバックアップ、復元、移行を一手に担う定番プラグインだ。Google DriveやDropboxなど多数のクラウドストレージへのバックアップに対応し、無料版でも一通りの機能を使える。300万というアクティブインストール数は、WordPressプラグイン全体でもトップクラスに位置する。

これだけの規模で使われているプラグインに認証回避の脆弱性が見つかったことは、WordPressエコシステム全体にとって大きな脅威である。とくに今回の問題は、攻撃者がログインする必要すらない点で深刻度が一段高い。

脆弱性のあるバージョン
UpdraftPlus バージョン 1.24.0 から 1.26.4 まで (危険)
修正済みバージョン
UpdraftPlus バージョン 1.26.5 以上 (安全)

上図のとおり、1.26.4以前はすべてのバージョンが影響を受ける。1.26.5への更新で修正されるため、管理画面から利用可能なアップデートがないかすぐに確認してほしい。

すべてのサイトが攻撃対象になるわけではない

注意すべき点として、UpdraftPlusをインストールしているだけでは攻撃が成立しない。プラグインの変更履歴によれば、攻撃が可能になるのは「アクティブなMigratorキー」または「UpdraftCentralキー」が設定されているサイトに限られる。

Migratorキーは有料版でのみ使われる移行機能で、UpdraftCentralキーは無料版・有料版の両方で利用できるリモート管理機能である。これらのキーを有効化しているサイト運営者は、とくに注意が必要だ。

攻撃成立の条件
UpdraftCentral キー有効 無料版・有料版の両方
Migrator キー有効 有料版のみ
いずれかのキーが有効なサイトが攻撃対象となる

認証バイパスの仕組み

認証バイパスの仕組み

この脆弱性は「認証バイパス(Authentication Bypass)」に分類される。認証バイパスとは、本来必要なはずの本人確認の仕組みをすり抜けてしまう欠陥のことだ。

UpdraftPlusはリモート通信を受け取る際、その命令が正当な管理者から送信されたものかを検証する仕組みを持っている。ところが今回の問題では、この検証プロセス自体を迂回できてしまう。結果として、攻撃者の偽造命令が「正規の管理者命令」として処理されてしまうのだ。

暗号署名の検証が機能しない根本原因

Wordfenceの技術分析によれば、問題の核心は「リモート通信メッセージの検証不備」にある。

通常、プラグインは受信した命令の署名(デジタルな印鑑のようなもの)を検証し、改ざんや偽造がないことを確認する。検証に失敗した場合、システムはその命令を拒否するべきだ。ところがUpdraftPlusのコードには、署名検証に失敗したときにエラーを返して処理を停止するのではなく、暗号鍵として「オールゼロ(すべてのビットが0の鍵)」に陥ってしまう欠陥があった。

これをもっと身近なたとえで説明しよう。たとえば、オフィスの入館ゲートでICカード認証が失敗したとする。本来ならゲートは閉じたままでなければならない。しかし今回の問題は、認証に失敗したときに「鍵が全部0の状態のマスターキー」が自動的に発行されてしまうようなものだ。攻撃者はそれを知っていれば、簡単にゲートを通れてしまう。

脆弱な動作(Before)
署名検証 失敗 鍵がオールゼロに 攻撃者の命令が通る
本来あるべき動作(After)
署名検証 失敗 処理を拒否して終了 命令は実行されない

この欠陥により、攻撃者は任意のRPC(リモートプロシージャコール、遠隔操作命令)を偽造し、接続中の管理者として実行できるようになる。

攻撃の実態とリモートコード実行の危険性

攻撃の実態とリモートコード実行の危険性

認証バイパスによって攻撃者が得るのは、単なる閲覧権限ではない。管理者権限での操作が可能になるため、サイトの運命を左右する重大な操作を自由に行える。

もっとも危険なシナリオは、悪意あるWordPressプラグインのアップロードと有効化だ。攻撃者は見た目は普通のプラグインに見せかけたバックドア(裏口)を設置できる。このバックドアが有効化されると、サーバー上で任意のコードが実行可能になり、以下のような被害が現実のものとなる。

  • サイトデータの窃取(顧客情報、メールアドレス、パスワードハッシュなど)
  • マルウェアの注入による訪問者への二次被害
  • サイトの改ざんやフィッシングページの設置
  • 管理者アカウントの不正作成と恒久的な支配
  • 他のサーバーへの攻撃拠点としての悪用

すでに8,000件以上の攻撃を観測

Wordfenceの脅威インテリジェンスチームは、24時間で8,172件の攻撃試行をブロックしたと報告している。これは実際に悪用が試みられている明確な証拠だ。

ブロックされた攻撃の数だけでは、実際に侵入に成功したサイトの数はわからない。しかし攻撃者が積極的にスキャンと攻撃を仕掛けている以上、未対策のサイトはきわめて危険な状態にあると言わざるを得ない。

サイト運営者がいますぐ取るべき対策

サイト運営者がいますぐ取るべき対策

脆弱性への対応はシンプルだ。UpdraftPlusをバージョン1.26.5以降にアップデートすること。これだけで問題は解消される。

STEP 1 WordPress管理画面で「プラグイン」→「インストール済みプラグイン」を開く
STEP 2 UpdraftPlusに更新通知が表示されていれば「今すぐ更新」をクリック
STEP 3 更新後、バージョンが1.26.5以上になっていることを確認
STEP 4 可能であればサイト全体のセキュリティスキャンを実施し、不正なプラグインや管理者アカウントの有無を確認

UpdraftPlusの変更履歴では「すべてのユーザーは直ちに更新すべき」と明記されている。有料版・無料版を問わず、更新の猶予はない。

更新以外に検討すべき安全策

今回の脆弱性は、WordPressサイトの基本的なセキュリティ対策の重要性を改めて示している。以下の対策もあわせて検討してほしい。

  • プラグインの定期的な自動更新を有効にする
  • 使用していないプラグインは削除し、攻撃対象を減らす
  • セキュリティプラグインを導入し、不審な通信を監視する
  • 定期的にバックアップを取得し、復旧手順を確認しておく
  • UpdraftCentralやMigratorキーを現在使っていないなら、無効化を検討する

この記事のポイント

  • UpdraftPlus 1.26.4以前に認証バイパスの脆弱性が存在し、300万以上のサイトが影響を受ける
  • 攻撃者はログイン不要で管理者権限を取得し、悪意あるプラグインの設置が可能
  • 24時間で8,000件以上の攻撃が観測されており、すでに悪用が進行中
  • バージョン1.26.5への即時更新で修正される
  • MigratorキーまたはUpdraftCentralキーを有効化しているサイトはとくに危険
海田 洋祐
, , , ,
SEO対策
海田 洋祐

・ 複数業界における17年間のデジタルビジネス開発経験 ・ ウェブサイト開発のためのHTML、PHP、CSS、Java等の実用的知識 ・ 15ヶ国語対応の多言語SaaSの開発経験 ・ 17年間にも及ぶ、Eコマース長期運営経験 ・ 幅広い業界でのSEO最適化の豊富な経験

メッセージを残す

メニュー

会社概要
事業紹介
社名の由来
JVパートナー募集

ウェブ開発 最新ニュース

B to B のご提案

事業譲渡(M&A)
卸売販売
アフィリエイト

その他

関連サイト
特定商取引法に基づく表示
プライバシーポリシー
お問い合わせ

Copyright 株式会社A&Gウェブ - ライバルには、ひみつ。 All rights reserved.