概要
2026年4月7日、WordPressおよびJoomla向け人気スライダープラグイン「Smart Slider 3 Pro」を開発・配布するNextend社のアップデートサーバーが攻撃者に侵害された。その結果、バックドアを埋め込んだ悪意あるバージョン3.5.1.35が約6時間にわたり正規のアップデートとして配布された。Smart Slider 3(無料版・Pro版合計)は世界で80万〜90万以上のサイトで利用されており、今回の侵害はサプライチェーン攻撃として深刻な影響を及ぼす可能性がある。無料版は今回の攻撃を受けておらず、影響を受けるのはPro版のバージョン3.5.1.35のみとされている。
技術的な詳細
埋め込まれたバックドアは多層的な永続化機構を備えた高度なマルウェアであった。攻撃者は独自のHTTPカスタムヘッダー(X-Cache-StatusやX-Cache-Keyなど)を通じて認証不要のリモートコード実行(RCE)を可能にし、PHPのeval関数やOSコマンド実行関数を悪用した。
永続化の手口としては、以下の5つの独立した手法が確認されている。
- ランダムな名前(例:「wpsvc_a3f1」)を持つ隠し管理者アカウントの作成(フィルタ操作によりユーザー一覧から非表示化)
- キャッシュコンポーネントに偽装したMust-useプラグイン(
mu-pluginsディレクトリ)の設置 - テーマの
functions.phpへの悪意あるコードの注入 - WordPressのコアクラスを模倣したバックドアファイルの
wp-includesディレクトリへの設置 .cache_keyファイルによる認証キーの隠蔽保存
さらに、侵害されたサイトのURL・ホスト名・管理者メールアドレス・データベース名・管理者認証情報・WordPressやPHPのバージョン情報がC2(コマンド&コントロール)サーバー「wpjs1[.]com」へ自動送信される機能も含まれていた。
影響範囲と推奨対処法
影響を受けるのはバージョン3.5.1.35のみであり、3.5.1.34以前のバージョンおよび3.5.1.36以降は安全とされている。該当バージョンをインストールしたサイト管理者は、以下の対応を速やかに実施することが推奨されている。
- 即時対応:バージョン3.5.1.35を完全に削除し、3.5.1.36以降をインストールする
- 不正要素の除去:不審な管理者アカウント、
_wpc_ak・_wpc_uid・_wpc_uinfoなどの悪意あるデータベースエントリ、mu-pluginsやテーマディレクトリに追加された不正ファイルを削除する - 認証情報のリセット:WordPressの管理者パスワード、データベースパスワード、FTP/SSHのパスワード、ホスティングアカウントのパスワードをすべて変更する
- 強化策の実施:管理者アカウントへの二要素認証(2FA)の有効化、WordPressのセキュリティキーの再生成、管理画面へのIPアクセス制限の設定
侵害の可能性がある場合は、4月5日以前のバックアップからの復元も検討すべきとされている。セキュリティ企業PatchStackによる詳細な侵害痕跡(IoC)の分析も公開されており、サイト調査の際に参照が推奨されている。