オーストラリア・サイバーセキュリティセンター(ACSC)は、脆弱なコンテンツ管理システム(CMS)およびプラグインを標的とした世界規模の悪用キャンペーンについて警告を発しました。
同政府機関によると、すでに多くのオーストラリア企業がこの悪意ある活動の影響を受けており、対象サイトにウェブシェルが仕掛けられているとのことです。
ウェブシェルは侵害されたサイトへの永続的なアクセス手段を提供し、脅威アクターがサービスを妨害したり、認証情報を窃取したり、追加のマルウェアを仕掛けたり、ネットワークの奥深くへ侵入したりすることを可能にします。
「世界的に、コンテンツ管理システム(CMS)に存在する複数の脆弱性を狙った大規模な悪用キャンペーンが展開されており、オーストラリアも例外ではなく、多くの中小規模のオーストラリア企業が影響を受けています」とACSCは警告しています。
「このキャンペーンの一環として、悪意あるサイバーアクターはCMSソフトウェアやプラグインに影響を及ぼす様々な脆弱性を悪用し、ウェブシェルを展開する機会を狙って積極的にウェブサイトをスキャンしています」
同機関によると、この活動ではWordPress、Craft CMS、MaxSite CMS、MetInfo CMS、Joomla JCEなど、複数のCMSプラットフォームおよびプラグインの脆弱性が悪用されています。ACSCはこのキャンペーンで悪用されている製品として以下を挙げています。
- Simple File List(WordPress) – CVE-2025-34085/CVE-2020-36847
- WavePlayer(WordPress) – CVE-2025-12057
- BerqWP(WordPress) – CVE-2025-7443
- WPBookit(WordPress) – CVE-2025-7852
- Ninja Forms(WordPress) – CVE-2026-0740
- ThemeREX Addons(WordPress) – CVE-2026-1969
- Breeze Cache(WordPress) – CVE-2026-3844
- pay-uz(WordPress) – CVE-2026-31843
- ACF Extended(WordPress) – CVE-2025-13486
- Sneeit Framework – CVE-2025-6389
- WPvivid Backup(WordPress) – CVE-2026-1357
- Gravity Forms(WordPress) – CVE-2025-12352
- GutenKit/Hunk Companion(WordPress) – おそらくCVE-2024-9234
- Craft CMS – CVE-2025-32432
- MaxSite CMS – CVE-2026-3395
- MetInfo CMS – CVE-2026-29014
- Joomla JCE – CVE-2026-48907
ACSCは、このキャンペーンにAIが利用されている可能性があると指摘しています。AIは通常、脅威アクターによる攻撃の加速や、新たに発見された脆弱性の悪用の拡大を後押しするものです。
ウェブサイト管理者には、CMSやテーマ、プラグインの最新のセキュリティアップデートを適用し、使用していないコンポーネントを削除し、可能な限り自動更新を有効にすることが推奨されています。
また、可能であればウェブディレクトリを読み取り専用に設定し、不正なファイル作成を監視し、機密性の高いディレクトリへのアクセスを制限し、ウェブサーバー上での予期しない子プロセスの生成をブロックすることも推奨されています。
攻撃者に先んじて、すべてのレイヤーをテストする
セキュリティチームが記録できている攻撃成功の割合はわずか54%、アラートを発した割合に至っては14%に過ぎません。残りの攻撃は検知されないまま環境内を移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)がSIEMやEDRのルールをどのようにテストし、脅威の検知漏れを防ぐかを解説しています。