WordPressプラグイン『Gravity SMTP』に深刻な脆弱性が見つかり、約10万サイトでAPIキーを含む機密情報が認証なしで漏洩する危険性が指摘されています。この脆弱性(CVE-2026-4020)は、攻撃者によって既に活発に悪用されており、サイト管理者には早急なプラグインの更新と認証情報の見直しが求められています。
Gravity SMTPプラグインの脆弱性とは?
この脆弱性(CVE-2026-4020)は、CVSSスコア5.3と中程度の深刻度に分類される情報漏洩の欠陥です。認証されていない攻撃者が、設定データ、APIキー、機密情報、およびプラグインのメール連携用に設定されたOAuthトークンなどの機密データを抽出できる可能性があります。
セキュリティ企業Wordfenceの報告によると、この問題は、/wp-json/gravitysmtp/v1/tests/mock-dataに登録されたREST APIエンドポイントに起因します。このエンドポイントのpermission_callbackが常に真を返すため、認証されていない訪問者でもアクセスできてしまいます。さらに、?page=gravitysmtp-settingsというクエリパラメータを付加すると、プラグインのregister_connector_data()メソッドが内部コネクタデータを生成し、約365KBにも及ぶシステムレポートを含むJSONデータが返されることが確認されています。
漏洩する可能性のある情報
認証されていない攻撃者がこの脆弱性を悪用することで、以下のような広範な情報を取得できる可能性があります。
- PHPバージョン
- ロードされている拡張機能
- Webサーバーのバージョン
- ドキュメントルートのパス
- データベースサーバーの種類とバージョン
- WordPressのバージョン
- すべての有効なプラグインとそのバージョン
- 有効なテーマ
- WordPressの設定詳細
- データベーステーブル名
- Amazon SES、Google、Mailjet、Resend、Zohoなど、プラグインに設定されているAPIキーやトークン
攻撃者が悪用する手口
攻撃者は、この情報漏洩を悪用して、サイトのメールサービスを不正に利用し、スパムメールの送信などに悪用する可能性があります。また、詳細なシステムレポートからサイトのソフトウェアスタックに関する広範な情報を得ることで、さらなる標的型攻撃の足がかりとすることも考えられます。
活発化する攻撃と対策
Wordfenceは、このCVE-2026-4020を標的とした1,700万件以上の攻撃試行を既にブロックしています。最初の攻撃活動は2026年5月初旬に始まり、6月6日頃に劇的に急増し、翌日には1日あたり400万件以上のリクエストを記録しました。攻撃は、特定の複数のIPアドレスから行われていることが確認されています。
サイト管理者が取るべき対策
この脆弱性に対するパッチは、プラグインのバージョン2.1.5でリリースされています。Gravity SMTPプラグインの脆弱なバージョンを使用しており、サードパーティのメール連携を設定しているサイト管理者は、以下の対策を直ちに実行することが強く推奨されます。
- プラグインの即時アップデート:Gravity SMTPプラグインを最新バージョン2.1.5に更新してください。
- 認証情報のローテーション:アップデート後、Amazon SES、Google、Mailjetなどのサードパーティメールサービスに設定しているAPIキーやOAuthトークンなどの認証情報をすべてローテーション(変更)してください。既に情報が漏洩している可能性を考慮し、この作業は必須です。
- サーバーログの確認:サーバーのログファイルをレビューし、不審なAPIエンドポイントへのリクエストがないか確認してください。特に、元記事に記載されている攻撃元IPアドレスからのアクセスに注意を払うことが推奨されます。
【管理人の視点】日本のWordPressユーザーへの影響と注意点
今回のGravity SMTPプラグインの脆弱性は、WordPressサイトを運営する日本のユーザーにとっても決して他人事ではありません。世界中で広く利用されているWordPressは、プラグインの脆弱性が発見されると、その影響は国境を越えて瞬く間に広がります。
特に、メール通知機能を多用するECサイトや会員制サイト、ブログなどでGravity SMTPを利用している場合、APIキーの漏洩は単なる情報漏洩にとどまらず、サイトの信頼性失墜や、悪意のあるメール送信によるユーザーへの被害に直結する可能性があります。
このような事態を避けるためには、日頃からのセキュリティ意識が極めて重要です。
- プラグインの選定と管理:信頼できる開発元から提供されているプラグインのみを使用し、不要なプラグインは削除しましょう。定期的に更新状況を確認し、常に最新バージョンに保つことが基本です。
- 最小権限の原則:APIキーなどの機密情報を設定する際は、必要最小限の権限のみを付与し、万が一漏洩した場合の影響を最小限に抑える工夫が必要です。
- セキュリティプラグインの活用:Wordfenceのようなセキュリティプラグインを導入し、不正アクセスや攻撃試行を監視・ブロックすることも有効な手段です。
- 定期的なバックアップ:万が一の事態に備え、サイトのデータとデータベースの定期的なバックアップを怠らないようにしましょう。
今回の件を機に、自身のWordPressサイトのセキュリティ体制を改めて見直す良い機会と捉えるべきです。
こんな人におすすめ
- WordPressサイトを運営している人
- Gravity SMTPプラグインを利用している人
- サイトのセキュリティ対策に関心がある人
- APIキーや認証情報の管理方法を見直したい人
まとめ
WordPressプラグイン「Gravity SMTP」に発見された脆弱性は、APIキーを含む機密情報が認証なしで漏洩する深刻なリスクを伴います。攻撃は既に活発化しており、約10万サイトが影響を受ける可能性があると報じられています。サイト管理者は、直ちにプラグインをバージョン2.1.5にアップデートし、関連する認証情報を速やかにローテーションすることが不可欠です。日頃からのセキュリティ対策の徹底と、最新の脅威情報への迅速な対応が、サイトの安全を守る上で極めて重要です。
情報元:The Hacker News
