WordPress Admin は要注意：偽装キャッシュ・プラグインによるログイン情報窃取

WordPress Admins Beware! Fake Cache Plugin that Steals Admin Logins

2025/06/05 CyberSecurityNews — WordPress 管理者を標的とする、高度なマルウェア攻撃が発見された。この攻撃は、偽装キャッシュ・プラグインを利用してログイン情報を盗み出し、Web サイトのセキュリティを侵害するものだ。セキュリティ研究者たちが特定したのは、“wp-runtime-cache” を装う悪意のプラグインである。このプラグインは管理者権限を持つユーザーを主な標的とし、機密性の高い認証データを、サイバー犯罪者が管理する外部サーバへと流出させるものだ。

偽の WordPress キャッシュがログイン情報を盗む

Sucuri によると、”wp-runtime-cache” と名付けられた偽装キャッシュ・プラグインは、侵入した WordPress システムに常駐しながら検出を回避するために、複数の欺瞞的な手法を用いているという。

正規のキャッシュ・プラグインには、複数の PHP ファイルと JavaScript ファイルが取り込まれているが、この悪意の亜種は “wp-runtime-cache.php” という１つのファイルのみで構成されている。

このプラグインには、正規のソフトウェアと区別できる、いくつかの危険なシグナルが散見される。不審なほど、プラグインの説明／作成者情報／URLフィールド などが空白の状態であるのに対して、正規のプラグインには必ず、ベンダー ID とサポート・リソースが含まれている。

さらに、この悪意のコードには、高度に難読化された base64 コンテンツが取り込まれており、”woocomHeic0971″ や “pbes2PITR0339″ といったランダム化された変数名が利用されている。その中には、”infiltrateDocumentStore0460” という、きわめて特徴的な変数も含まれている。

このマルウェアは、WordPress のアクションフックである add_action(‘wp_login’, ‘octopusJson50286’, 10, 2) を介して、ページが読み込まれるたびに実行される。

それにより、ユーザーが WordPress 管理パネルで認証を試みるたびに、認証情報収集のための機能が確実に実行される。

この悪意のプラグインは、主として高い権限を持つユーザーを狙う、高度なロール・ベースのターゲティング・システムを実装している。

ユーザーによるログイン試行時に、このマルウェアはユーザー権限を、定義済みのbase64 エンコードされたロールである bWFuYWdlX29wdGlvbnM= (manage_options for admin-level access) および ZWRpdF9wYWdlcw== (edit_pages for editor-level access) と比較する。

ログイン認証情報が対象のロールと一致すると、この悪意のプラグインは、ユーザー名／パスワード／ユーザー権限を取り込んだデータ配列を構築する。

この機密情報は、WordPress にビルトインされた wp_remote_post 関数を介して、外部の Command and Control (C2) サーバに送信される。つまり、デコードされた URL “https://woocommerce-check.com/report-to” に対してデータが送信される。

この悪意のドメイン “woocommerce-check.com” は、2024年10月27日に登録されたものである。登録情報にはアーカンソー州の住所が記載されているが、国番号は香港 (+852.68584411) となっており、登録詐欺の可能性を示唆する不審な情報が含まれている。

対策

この悪意のプラグインは、管理者からの検出を逃れるための、高度な回避技術を組み込んでいる。このプラグインは、add_action(‘pre_current_active_plugins’, ‘pbes2PITR0339’) アクションを使用して、WordPress プラグイン・リストから自身を削除し、標準的な管理インターフェイスによる検出を、ほぼ不可能にしている。

このマルウェアには、悪意のユーザーが隠蔽メカニズムを回避するための、ハードコードされたハッシュ値 “WsXZjIFxgnLnC5V” が埋め込まれている。それにより、正当な管理者からプラグインを隠蔽しながら、攻撃者は感染を管理できると考えられる。

WordPress 管理者は、複数のセキュリティ対策を講じることでサイトを保護できる。たとえば、サーバ・サイド・スキャナを用いた定期的なセキュリティ監査により、不正なファイルのアップロードを検出できる。

また、ログイン・ページに二要素認証 (2FA) または IP 制限を実装することで、認証情報が漏洩した場合であっても、追加の保護レイヤーを提供できる。

侵害の疑いがある場合に、管理者とって必要なことは、WordPress.org の Salt Generator を使用して、wp-config.php 内の WordPress のソルトを直ちに更新することだ。それにより、ハッシュ化されたパスワードを、攻撃者が平文に戻すプロセスを阻止できる。

定期的なプラグイン監査と、管理者パスワードの最新状態の維持は、このような高度な攻撃を防ぐために不可欠なセキュリティ対策である。

WordPress ユーザーを欺く偽装キャッシュ・プラグインにより、サイトの機密情報が窃取され、外部に流出するという怖い話です。さまざまなプラグインが提供され、WordPress をリッチにしていますが、利用に際しては注意が必要ですね。よろしければ、WordPress で検索も、ご参照ください。