何が起きたのか
2026年4月7日、WordPress用プラグイン『Smart Slider 3』の開発元Nextend社のアップデートインフラに、何者かが不正アクセスしました。攻撃者はSmart Slider 3 Proのバージョン3.5.1.35として、バックドアを含む完全な攻撃用ビルドを正規の更新チャネルから配信しました。
WordPressセキュリティ企業Patchstackによると、このバージョンを適用したサイトには『完全に武装されたリモートアクセスツールキット』が設置されました。更新の公開から検知まで約6時間。その間に更新を適用したすべてのサイトが、攻撃者に遠隔操作可能な状態になりました。
正規の更新チャネルから攻撃コードが配信された。『更新しましょう』というセキュリティのベストプラクティスそのものが、攻撃のトリガーになった。
なぜこれが最も怖い攻撃なのか
フィッシングメールなら『怪しいリンクをクリックしない』で防げます。脆弱性なら『パッチを当てる』で防げます。しかしこの攻撃は『パッチを当てる行為そのもの』が攻撃です。
- 管理画面に表示される正規の『更新』通知に従って更新した
- 更新元はプラグイン開発元の正規サーバー
- ファイルのハッシュ値チェックや署名検証がなければ偽物と判別できない
- セキュリティ意識の高い管理者ほど速やかに更新するため、真っ先に被害を受ける
Smart Slider 3はWordPressの無料版・Pro版合わせて80万サイト以上で利用されている人気プラグインです。今回影響を受けたのはPro版のみですが、WordPressのサプライチェーン全体への信頼が揺らぐ事件です。
自分のサイトが侵害されたか確認する方法
- Smart Slider 3 Proのバージョンが3.5.1.35になっていないか確認する
- 4月7日以降にプラグインを更新した場合はサイトのファイルに不審な変更がないか確認する
- Patchstackなどのセキュリティプラグインでマルウェアスキャンを実行する
- 身に覚えのない管理者アカウントが追加されていないか確認する
- サーバーのアクセスログに不審な外部通信がないか確認する
WordPress以外でも起きている
サプライチェーン攻撃は2026年の最大のトレンドです。同じ4月にnpmパッケージAxiosが北朝鮮に乗っ取られ、Next.jsの脆弱性が大量に悪用されています。正規の開発ツールや更新チャネルを信頼できない時代が来ています。
サイト運営者が今すぐやるべきこと
- 使用中のプラグイン・テーマの一覧と最新バージョンを把握する
- 自動更新を盲目的に有効にせずステージング環境でのテスト後に適用する
- Patchstackなどのセキュリティ監視サービスを導入する
- 管理画面のアクセスをIP制限またはVPN経由に限定する
- セキュリティヘッダー(CSP、HSTS、X-Frame-Options等)が設定されているか確認する
- SSL/TLS設定が最新の推奨構成になっているか確認する
まず確認すべきこと
サプライチェーン攻撃はプラグインの内部に潜むため、外部からの診断だけでは検知できません。しかし、セキュリティヘッダーやSSL/TLS設定など『外から見える弱点』を先に潰しておくことで、攻撃者にとっての標的価値を下げることができます。
Web検診では、セキュリティヘッダー、SSL/TLS設定、公開情報の露出を含む無料のサイト診断を提供しています。
出典
The Hacker News: https://thehackernews.com/
Patchstack(WordPress Security): https://patchstack.com/
BleepingComputer: https://www.bleepingcomputer.com/