脅威アクターが、広く利用されているGravity SMTP WordPressプラグインの深刻なセキュリティ脆弱性を悪用し、APIキーや認証トークンを含む機密設定データを窃取する攻撃を活発に展開しています。
CVSSスコア5.3のこの脆弱性はCVE-2026-4020として追跡されており、バージョン2.1.4以下のすべてのバージョンに影響します。10万件を超えるウェブサイトが侵害リスクにさらされています。
WordPress SMTPプラグインの脆弱性
問題の根本は、RESTAPIエンドポイント「/wp-json/gravitysmtp/v1/tests/mock-data」の認証処理が不適切であることにあります。このエンドポイントは、permission_callbackが常にtrueを返すため、認証チェックが機能していません。
この設定不備により、未認証の攻撃者がクエリパラメータ「?page=gravitysmtp-settings」を付加してエンドポイントを呼び出すだけで、詳細なシステムレポートを取得できてしまいます。
レスポンスには約365KBのJSONデータが含まれており、PHPバージョン、有効なプラグイン、データベース設定、そして最も重大な問題として、サードパーティメールサービスのAPI認証情報といった機密環境情報が網羅されています。
Wordfenceの報告によると、流出するデータにはAmazon SES、Google、Mailjet、Zoho、ResendなどのサービスのOAuthトークンやAPIキーが含まれる可能性があります。これにより攻撃者はメール機能を乗っ取り、正規ドメインになりすましたり、偵察データをもとにさらなる標的型攻撃を仕掛けたりすることが可能になります。この脆弱性はベンダーが2026年3月17日にパッチ済みバージョン2.1.5をリリースした後、2026年3月30日に責任ある開示が行われました。
CVSSスコアは中程度の評価ながら、ここ数週間で悪用の急増が確認されています。テレメトリデータによると、Wordfenceのファイアウォールは1,700万件を超える攻撃試行をブロックしています。
最も攻撃が激化した期間は2026年6月7日から11日にかけてで、6月7日だけで400万件を超えるブロックリクエストがピークとして記録されました。この攻撃は未認証のHTTP GETリクエスト1件のみで成立するため、大規模な悪用がきわめて容易な状況です。
実際に観測された典型的な攻撃リクエストは、必要なクエリ文字列を付加して脆弱なエンドポイントを標的にするものです。サーバーは認証なしに機密設定データを返してしまいます。この単純さが、インターネット全体での広範なスキャンおよび自動化された悪用キャンペーンの拡大を招いています。
悪用の活発化を受け、Wordfenceは2026年5月5日にプレミアムユーザー向けにファイアウォール保護を展開し、無料ユーザーには2026年6月4日に適用しました。
注目すべきは、研究者が実際の攻撃活動が当初の深刻度評価を超えて拡大していることを観測したことを受け、標準的な情報開示ワークフローの枠外でファイアウォールルールが導入された点です。
侵害の痕跡(IOC)
悪用の試みに関連する主要な指標は以下のとおりです。
| 種別 | 指標 | 説明 |
|---|---|---|
| URLパス | /wp-json/gravitysmtp/v1/tests/mock-data |
攻撃者が標的とするGravity SMTPの脆弱なRESTAPIエンドポイント |
| URL(完全形) | /wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings |
認証情報を含むシステムレポートJSONをダンプするために使用される悪用リクエスト |
| IPアドレス | 45.148.10.95 |
642,000件以上のブロック済み悪用試行の発信元 |
| IPアドレス | 193.32.162.60 |
586,000件以上のブロック済み悪用試行の発信元 |
| IPアドレス | 176.65.148.139 |
539,000件以上のブロック済み悪用試行の発信元 |
| IPアドレス | 173.199.90.188 |
460,000件以上のブロック済み悪用試行の発信元 |
| IPアドレス | 45.148.10.120 |
410,000件以上のブロック済み悪用試行の発信元 |
| IPアドレス | 185.8.107.155 |
404,000件以上のブロック済み悪用試行の発信元 |
| IPアドレス | 185.8.106.37 |
399,000件以上のブロック済み悪用試行の発信元 |
| IPアドレス | 185.8.106.92 |
394,000件以上のブロック済み悪用試行の発信元 |
| IPアドレス | 185.8.106.145 |
387,000件以上のブロック済み悪用試行の発信元 |
| IPアドレス | 176.65.148.30 |
384,000件以上のブロック済み悪用試行の発信元 |
| HTTPメソッド | GET |
RESTAPIエンドポイントの悪用に使用されるメソッド |
| User-Agent | Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36 |
悪用トラフィックで観測されたUser-Agentの例 |
| 影響を受けるプラグイン | Gravity SMTP (gravitysmtp) |
機密設定情報と認証情報の窃取に悪用されたWordPress SMTPプラグイン |
| 影響を受けるバージョン | <= 2.1.4 |
未認証のデータ窃取に脆弱なバージョン |
| パッチ済みバージョン | 2.1.5 |
機密情報漏洩を修正したリリース |
注意:IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化処理(例:[.])が施されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻してご利用ください。
また、防御担当者は以下へのリクエストへの不審なアクセスを監視することをお勧めします。
- /wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings
この脆弱性はファイルの改変やペイロードの注入を伴わないため、侵害の痕跡はウェブサーバーのアクセスログにしか残らない場合があります。
セキュリティ専門家は、管理者に対してGravity SMTPバージョン2.1.5以降への即時アップデートを強く推奨しています。また、流出した可能性のあるAPIキー、シークレット、OAuthトークンはすべて侵害済みとみなし、速やかにローテーションしてください。
影響を受けるインストール環境を持つ組織は、ログの異常なアクセスパターンを確認するとともに、不正なAPIアクセスを制限する対応も講じてください。
今回の事例は、一見して深刻度の低い脆弱性であっても、特にWordPressのような広く普及したプラットフォームで機密データが露出した場合に、いかに深刻な脅威へと発展しうるかを改めて示しています。
翻訳元: https://gbhackers.com/hackers-exploit-wordpress-smtp-plugin/
