Hackers Exploit WordPress SMTP Plugin With 100,000+ Installs to Steal Sensitive Data
2026/06/18 gbhackers — 広く使用されている Gravity SMTP WordPress プラグインに存在する、深刻なセキュリティ欠陥を積極的に悪用する脅威アクターが、API キーや認証トークンを含む機密性の高いコンフィグ・データを抽出している。この脆弱性 CVE-2026-4020 (CVSS 5.3) は、バージョン 2.1.4 以下に影響を及ぼすものであり、10 万を超える Web サイトを潜在的な侵害にさらしている。
WordPress SMTP プラグインの欠陥
この問題は、不適切に保護された REST API エンドポイント “/wp-json/gravitysmtp/v1/tests/mock-data” に存在する。このエンドポイントには認証チェックが存在せず、permission_callback が常に true を返す状況にある。
このミスコンフィグを突く未認証の攻撃者は、”?page=gravitysmtp-settings” を付加したクエリ・パラメータで当該エンドポイントを呼び出すことで、包括的なシステム・レポートを取得できる。
このレスポンス内の約 365 KB の JSON データには、PHP バージョン/アクティブ・プラグイン/データベース・コンフィグなどの機密性の高い環境情報が含まれる。最も重要な点は、サードパーティのメール・サービス向けの API 認証情報も含まれることにある。
Wordfence が明らかにしたのは、一連の露出データに Amazon SES/Google/Mailjet/Zoho/Resend などのサービス向け OAuth トークンや API キーが含まれる可能性である。
これにより攻撃者は、メール機能の乗っ取り/正規ドメインへのなりすまし/偵察データなどを用いることで、今後の標的型攻撃のためのピボットを得る。この脆弱性については、2026年3月17日の時点で、ベンダーからパッチ適用済みバージョン 2.1.5 がリリースされ、その後の 3月30日に責任あるかたちで報告された。
この脆弱性の CVSS 評価は Medium レベルであるが、最近の数週間で悪用が大幅に急増している。テレメトリ・データによると、Wordfence ファイアウォールは 1,700 万件を超える攻撃の試みをブロックしている。
最も激しい活動は、2026年6月7日から 6月11日にかけて発生し、6月7日だけで 400 万件を超えるブロック済みリクエストが記録された。この攻撃に必要なのは、未認証の HTTP GET リクエスト 1 件のみであり、大規模な悪用が極めて容易である。
実環境で観測された典型的な攻撃リクエストは、前述のクエリ文字列を付けたものであり、それにより脆弱なエンドポイントが標的にされる。その結果、標的にされたサーバは、認証を要求することなく機密性の高いコンフィグ・データを返す。この単純さが、インターネット全体での広範なスキャンと自動化された悪用キャンペーンにつながっている。
積極的な悪用の報告を受けた Wordfence は、2026年5月5日に Premium ユーザー向けのファイアウォール保護をデプロイし、Free ユーザーには 6月4日に適用した。当初の評価を超えて実環境での攻撃活動が拡大していることを、研究者たちが確認した後に、このファイアウォール・ルールは、標準的な開示ワークフローの外で導入された。
侵害インジケータ (IOC)
以下は、悪用の試みに関連する主なインジケータである。
| タイプ | インジケータ | 説明 |
|---|---|---|
| URL path | /wp-json/gravitysmtp/v1/tests/mock-data | 攻撃者に標的とされた脆弱な Gravity SMTP REST API エンドポイント |
| URL (full) | /wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings | 認証情報を含む完全な System Report JSON をダンプするために使用されるエクスプロイト・リクエスト |
| IP address | 45.148.10.95 | 642,000 件を超えるブロック済み悪用試行の送信元 |
| IP address | 193.32.162.60 | 586,000 件を超えるブロック済み悪用試行の送信元 |
| IP address | 176.65.148.139 | 539,000 件を超えるブロック済み悪用試行の送信元 |
| IP address | 173.199.90.188 | 460,000 件を超えるブロック済み悪用試行の送信元 |
| IP address | 45.148.10.120 | 410,000 件を超えるブロック済み悪用試行の送信元 |
| IP address | 185.8.107.155 | 404,000 件を超えるブロック済み悪用試行の送信元 |
| IP address | 185.8.106.37 | 399,000 件を超えるブロック済み悪用試行の送信元 |
| IP address | 185.8.106.92 | 394,000 件を超えるブロック済み悪用試行の送信元 |
| IP address | 185.8.106.145 | 387,000 件を超えるブロック済み悪用試行の送信元 |
| IP address | 176.65.148.30 | 384,000 件を超えるブロック済み悪用試行の送信元 |
| HTTP method | GET | REST API エンドポイントの悪用で使用されたメソッド |
| User-Agent | Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36 | エクスプロイト・トラフィックで観測された User-Agent の例 |
| Affected plugin | Gravity SMTP (gravitysmtp) | 機密性の高いコンフィグおよび認証情報の流出に悪用された WordPress SMTP プラグイン |
| Affected versions | <= 2.1.4 | 未認証のデータ窃取にさらされる脆弱なバージョン |
| Patched version | 2.1.5 | 機密情報露出を修正したリリース |
注記:IP アドレスおよびドメインは、意図しない名前解決やハイパーリンク化を防ぐため、意図的に無害化 (例:[.] ) されている。再有効化 (re-fang) は、MISP/VirusTotal/SIEM などの管理された脅威インテリジェンス・プラットフォーム内でのみ実施すること。
防御側として監視すべきは、以下への不審なリクエストである。
/wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings
この脆弱性の悪用においては、ファイルの変更やペイロードの注入が不要であるため、侵害の痕跡が存在する場所が、Web サーバのアクセスログに限定される可能性がある。
セキュリティ専門家が管理者に対して強く推奨するのは、Gravity SMTP バージョン 2.1.5 以降への速やかなアップデートである。それに加えて、露出した可能性がある API キー/シークレット/OAuth トークンは侵害済みと見なし、遅滞なくローテーションすべきである。
影響を受けるインストールを利用している組織は、異常なアクセス・パターンの有無をログで確認し、不正な API アクセスを制限する必要がある。
このインシデントが浮き彫りにするのは、低深刻度に見える脆弱性であっても、機密性の高いデータが露出する場合には、高影響の脅威へと発展し得ることである。WordPress のように、広くデプロイされているプラットフォームでは、そのリスクが大きい。
訳者後書:この問題の原因は、メール配信機能を拡張するプラグインにおいて、外部へ向けて内部データを出力する際の権限検証設定に不備が残っていた点にあります。この脆弱性 CVE-2026-4020 を悪用する攻撃者は特別な資格を必要とせずに、外部通信用の大切な秘密鍵や許可証などの環境情報を一括で盗み出せる危険性を得ます。ユーザーにとって必要なことは、対策が施されたバージョン 2.1.5 以降への速やかなアップデートです。ご利用のチームは、ご注意ください。よろしければ、WordPress SMTP での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.