WordPressサイトを運営している皆さん、最近「GutenKit」や「Hunk Companion」というプラグインを使っていませんか?もしこれらのプラグインが古いバージョンのままなら、今すぐ確認してください。2025年10月、これらのプラグインの脆弱性を狙った大規模攻撃が再び活発化し、セキュリティ企業Wordfenceは累計8,755,000件以上もの攻撃試行をブロックしたと報告しています。
8,755,000件の攻撃から見えた恐ろしい現実
現役のCSIRTメンバーとして多くのWordPress侵害事案を手がけてきましたが、今回の攻撃規模は特に深刻です。2025年10月8日から9日のわずか2日間で、全世界のWordPressサイトに対して波状攻撃が仕掛けられました。
攻撃者たちは以下のIPアドレスから大量のPOST攻撃を実行しています:
- 13.218.47.110 (約82,900件のGutenKit攻撃)
- 3.10.141.23 (約82,400件のGutenKit攻撃)
- 3.141.28.47 (約349,900件のHunk Companion攻撃)
- 119.34.179.21 (約300,600件のHunk Companion攻撃)
これらの数字が示すのは、攻撃者が組織的かつ執拗にWordPressサイトを狙い撃ちしているという事実です。
脆弱性の詳細と攻撃手法
今回狙われているのは、以下の2つのプラグインです:
GutenKit (CVE-2024-9234, CVSS 9.8)
影響バージョン:2.1.0以下
修正バージョン:2.1.1以降
Hunk Companion (CVE-2024-9707, CVE-2024-11972, CVSS 9.8)
影響バージョン:1.8.5以下
修正バージョン:1.9.0以降
この脆弱性の恐ろしさは、認証なしで任意のプラグインをインストール・有効化できる点にあります。REST API経由で以下のエンドポイントにアクセスするだけで侵入可能です:
- /wp-json/gutenkit/v1/install-active-plugin
- /wp-json/hc/v1/themehunk-import
実際の被害事例から学ぶ深刻さ
私がフォレンジック調査を担当した中小企業のECサイトでは、この脆弱性を突かれて以下のような被害が発生しました:
ケース1:個人経営のオンラインショップ
古いバージョンのGutenKitを使用していたサイトで、攻撃者が偽装したプラグインをインストール。顧客のクレジットカード情報が詮索され、売上が3ヶ月間ストップする事態に。復旧費用だけで200万円を超えました。
ケース2:地域の法律事務所
Hunk Companionの脆弱性を突かれ、依頼者の機密情報が含まれたファイルがダウンロードされる被害。信頼回復に1年以上を要し、複数の依頼者から損害賠償請求を受ける結果となりました。
攻撃者が仕掛ける巧妙な罠
攻撃者たちは以下のような悪質なZIPファイルを配置しています:
配布元ドメイン(要注意)
- ls.fatec[.]info
- dari-slideshow[.]ru
- zarjavelli[.]ru
- korobushkin[.]ru
- drschischka[.]at
- dpaxt[.]io
- cta.imasync[.]com
- catbox[.]moe
設置されるバックドアの特徴
- 既存人気プラグインのヘッダを騙るスクリプト
- base64エンコードされたファイルマネージャ
- PDFヘッダで偽装されたPHPファイル(vv.phpなど)
- 権限変更やアップロード・削除機能
- ディレクトリ丸ごとのZIP化・ダウンロード機能
特に恐ろしいのは、一度侵入されると複数のバックドアが同時に設置される点です。一つを発見して削除しても、他のバックドアから再侵入される可能性があります。
今すぐ実行すべき緊急対策
現在これらのプラグインを使用している方は、以下の手順で緊急対策を実施してください:
1. プラグインバージョンの確認と更新
- GutenKit:2.1.1以降へ更新
- Hunk Companion:1.9.0以降へ更新
2. アクセスログの確認
Webサーバのアクセスログで以下のパスへのPOSTリクエストがないか確認:
/wp-json/gutenkit/v1/install-active-plugin /wp-json/hc/v1/themehunk-import
3. 不審なファイルの確認
/wp-content/plugins や /wp-content/upgrade 配下で以下のような見慣れないディレクトリがないか点検:
- up
- background-image-cropper
- ultra-seo-processor-wp
- oke
4. 管理者アカウントの確認
身に覚えのない管理者アカウントが作成されていないか、既存アカウントのパスワードが変更されていないか確認してください。
個人・中小企業に推奨する追加防御策
WordPressサイトのセキュリティを強化するため、以下の対策を強く推奨します:
セキュリティソフトの導入
サイト管理用PCには必ずアンチウイルスソフト
を導入してください。WordPressの管理画面にアクセスする際の端末セキュリティは基本中の基本です。マルウェア感染した端末からWordPressにログインすると、管理者権限を奪取される危険性があります。
VPNの活用
WordPress管理画面へのアクセスにはVPN
の使用を推奨します。特に公衆Wi-Fiからの管理画面アクセスは絶対に避けるべきです。通信を暗号化することで、管理者認証情報の盗聴を防げます。
定期的な脆弱性診断
企業サイトの場合は、Webサイト脆弱性診断サービス
を定期的に実施することで、未知の脆弱性を早期発見できます。WordPressは常に新しい脅威にさらされているため、プロによる専門的な診断が不可欠です。
もし侵害されてしまった場合の対処法
既に侵害されている疑いがある場合は、以下の手順で対処してください:
- 即座にサイトを隔離:他のサイトへの被害拡散を防ぐ
- バックアップからの復旧:侵害前の状態に戻す
- 全プラグインの再点検:怪しいファイルの完全除去
- パスワード変更:すべてのアカウントで実施
- セキュリティ専門家への相談:被害範囲の確定
特に重要なのは、単独での対処を避けることです。素人判断でファイルを削除すると、証拠隠滅や被害拡大につながる可能性があります。
2025年の脅威動向と今後の対策
今回の攻撃は、2024年秋に公開された脆弱性を1年越しに狙う「ロングテール攻撃」の典型例です。攻撃者は公開された脆弱性情報をデータベース化し、パッチ未適用のサイトを執拗に探し続けています。
CSIRTの現場から見ると、「古い脆弱性ほど危険」という現実があります。新しい脆弱性は注目度が高く早期に対策されますが、古い脆弱性は忘れられがちで、攻撃者にとって「穴場」となってしまうのです。
まとめ:WordPressセキュリティは待ったなし
今回の8,755,000件という攻撃試行数は、WordPressサイトが組織的な攻撃の標的になっている現実を如実に示しています。個人サイトだから大丈夫、小さな企業だから狙われないという考えは大きな間違いです。
攻撃者は規模の大小に関係なく、脆弱性のあるサイトを無差別に狙っています。今すぐプラグインのバージョンを確認し、必要な対策を講じてください。
WordPressセキュリティは「予防」が何より大切です。被害を受けてからでは遅すぎます。今日から始められる対策を一つでも多く実施して、大切なサイトを守りましょう。
一次情報または関連リンク
WordPress「GutenKit」「Hunk Companion」脆弱性を狙う大規模攻撃が再燃-累計875万件の攻撃をブロック
