WordPress Gravity Forms への侵害:公式 Web サイトのインストール・イメージが汚染された

WordPress Gravity Forms developer hacked to push backdoored plugins

2025/07/11 BleepingComputer — WordPress の人気プラグインである Gravity Forms が、サプライチェーン攻撃とみられるインシデントにより侵害された。公式 Web サイトから手動でインストールされたパッケージに、バックドアが仕込まれるという攻撃が発生したことになる。Gravity Forms は有料プラグインであり、コンタクトフォーム/決済フォームなどのオンラインフォームを作成するために活用されている。ベンダの統計データによると、この製品は約 100 万の Web サイトにインストールされており、その中に含まれるものには、Airbnb/Nike/ESPN/UNICEF/Google/Yale などの著名サイトもある。

サーバ上でのリモートコード実行

WordPress のセキュリティ企業 PatchStack が、2024年7月11日に受けた報告は、Gravity Forms の公式 Web サイトからダウンロードされたエクステンションが原因となり、不審なリクエストが生成されるという問題である。

このプラグインを分析した結果として PatchStack が確認したのは、Gravity の公式サイトからダウンロードされた、悪意の gravityforms/common.php ファイルの存在である。さらに詳しく調べたところ、“gravityapi.org/sites” という不審なドメインに対して、 このファイルが POST リクエストを発信していたことが判明した。

その結果として研究者たちが把握したのは、このエクステンションが、URL/管理者パス/テーマ/使用中の他のエクステンション/PHP と WordPress のバージョンなどの、サイト内の詳細メタデータを収集し、外部の攻撃者に送信していることだ。

攻撃者のサーバからのレスポンスに取り込まれているのは、base64 でエンコードされた PHP マルウェアであり、それが “wp-includes/bookmark-canonical.php” という名称で保存される。

このマルウェアは、WordPress の Content Management Tools を装う一方で、handle_posts()handle_media()handle_widgets() といった関数を介して、認証を必要としないリモート・コード実行を可能にする。

PatchStack は、「これらすべての関数は、__construct → init_content_management → handle_requests → process_request というコール・チェーンで実行できるため、未認証のユーザーであっても操作できる。これらの関数群の一つが呼び出されると、最終的に、ユーザーが提供する入力内容が eval 関数で実行され、結果として、サーバ上でのリモート・コード実行に至る」と述べている。

この問題について通報を受けた、Gravity Forms の開発元である RocketGenius のスタッフは、マルウェアに感染していたのは、手動ダウンロードされたものと、composer によりインストールされたものだけだと、PatchStack に伝えた。

7月10日以降に Gravity Forms をダウンロードした、すべての管理者に対して PatchStack が推奨するのは、クリーンなバージョンを用いた再インストールである。その上で、サイト上に残っているかもしれない、感染の痕跡の有無についてスキャンを行うべきだと助言している。

PatchStack によると、この攻撃で使用されたドメインは、7月8日に登録されたようだ。

攻撃者による管理者アカウントの追加

RocketGenius は、このインシデントに関する詳細な記録を公開しており、2025年7月10日〜11日の手動ダウンロードで提供された、Gravity Forms のバージョン 2.9.11.1/2.9.12 のみに問題があったことを確認している。また、サイトの管理者が、この期間中に composer install を介してバージョン 2.9.11 を導入した場合も、感染したパッケージが導入された可能性があるという。

RocketGenius は、「ライセンス管理/自動更新/アドオン・インストールを処理する Gravity API サービスは、まったく侵害されていない。このサービスを通じて管理される。すべてのパッケージ更新は影響を受けていない」と説明している。

このマルウェアはアップデートの試行を妨害し、外部サーバへの不正な接続により悪意のペイロードを取得し、攻撃者に対して完全なサイト管理権限を与える、新たな管理者アカウントを追加するための機能を持っていると、RocketGenius は付け加えている。

さらに同社は、それぞれの Web サイトの管理者が、感染の可能性を確認するために用いるべき、リンクを辿るための手順を公開しており、それに従うよう推奨している。

WordPress の Gravity Forms で発生した問題は、公式サイトから手動でダウンロードされたイメージに仕込まれたマルウェアにより、サイト情報の窃取や、不正な管理者アカウントの作成といった、深刻な被害をもたらすものです。このようなサプライチェーン攻撃は、ユーザー側では対処できないものであり、正しい情報を速やかに取得し、問題を是正する他に、道はないという感じです。よろしければ、カテゴリ SupplyChain と、WordPress で検索を、ご参照ください。