WordPressプラグイン「CCTM」にバックドア見つかる

世界で最も多く使われているCMSであるWordPressは、ユーザーが多いことからサイバー攻撃の対象とされるケースが多い。また、WordPressをカスタマイズする目的で使われるプラグインに脆弱性が見つかることも多く、プラグインも含めて常に最新のバージョンにアップデートし続けることが求められている。今回、Custom Content Type Manager (CCTM)と呼ばれる人気の高いプラグインで問題が発見されたという。

CCTMにバックドアが仕込まれていることに複数の関係者が同時期に気づいたとされており、Sucuriは3月4日(米国時間)、「When a WordPress Plugin Goes Bad - Sucuri Blog」において、バックドアを発見した経緯や、バッグドアによってどうやってユーザ情報が窃取されるかなどを報告した。

CCTMに発見されたバックドアは開発に使われているリポジトリに正式にコミットされたものであることが、今回の重要事項として取り上げられている。こうしたことが起こった経緯は推測にとどまっているが、すでに開発が1年ほど停滞していることから、オリジナル開発者がほかの開発者にコミット権限を付与してほぼ開発を譲渡。譲り受けたコミッターのアカウントが何らかの方法で攻撃者に漏れ、このアカウントを経由して不正なコミットを実施するに至ったのではないかと説明されている。

プラグインやアドオンといったソフトウェアは、本体のソフトウェアよりも開発のモチベーション維持が短期間になることがある。脆弱性が発表されていないとしても、それはすでに開発が終了したか、開発者のモチベーションが低下したことで開発に取り組まれていないことが理由になっていることもある。プラグインを利用する場合はこうしたプラグインのライフサイクルも加味しながら、アップデート計画や随時別のプラグインに置き換えるといった取り組みを実施することが推奨される。