WordPressのCaptchaプラグインにバックドア発見、30万件以上のサイトに影響か

by Peter Hershey

オープンソースのブログソフトウェア・WordPressで、「Captcha」プラグインにバックドアが存在し、サイトの管理アクセス権を不正に取得できる状態だったことがわかりました。すでにプラグインからバックドアは削除されています。

Backdoor in Captcha Plugin Affects 300K WordPress Sites
https://www.wordfence.com/blog/2017/12/backdoor-captcha-plugin/

Hidden Backdoor Found In WordPress Captcha Plugin Affects Over 300,000 Sites
https://thehackernews.com/2017/12/wordpress-security-plugin.html

WordPressのセキュリティプラグインを提供しているWordFenceによると、30万件以上のサイトに導入されているCaptchaプラグインが公式プラグインストアから一時削除されたため、その原因を調べたところ、プラグイン作成者や攻撃者が認証なしでサイトへの管理アクセス権を得られるバックドアが設けられていたことがわかったそうです。WordFenceはWordPress.orgのプラグインチームと協力し、バックドアのないバージョンを自動アップデートで配信、10万件以上のサイトのCaptchaプラグインを安全なものに更新したとのこと。

そもそも、なぜ公式プラグインストアにバックドアのあるプラグインがあり、30万件ものサイトに導入されるまで放置されていたのかに関しては、制作者の変更が理由として挙げられています。

もともとこのプラグインを作っていたのはBestWebSoftというメーカーでした。しかし2017年9月5日、BestWebSoftは公式サイトで所有権が別の開発者に移ったことを発表。

Free Captcha Version is Now Supported by Other Developers — BestWebSoft
https://bestwebsoft.com/free-captcha-version-is-now-supported-by-other-developers/

新たな所有者が誰なのかは明かされていませんが、バックドアの含まれる悪質なコードがコミットされたのは2017年12月4日だとのことなので、この「新たな所有者」が問題のある開発者であることは明白です。

WordForceの調査によれば、新たな所有者は「simplywordpress.net」ドメインを所有する元SEO企業関係者で、Captchaプラグインのほかに「Covert me Popup」「Death To Comments」「Human Captcha」「Smart Recaptcha」「Social Exchange」を公開していることが判明。これらにも同様のバックドアをインストールするコードが含まれていました。

ちなみに、BestWebSoftが公開している「Google Captcha (reCAPTCHA) by BestWebSoft」は本件とは無関係なので、こちらを利用している人は特に問題ありません。