WordPress人気プラグイン「ACF Extended」に未認証で任意コード実行(RCE)を許す重大脆弱性が発見された。
影響範囲は10万件以上のサイトに及ぶ可能性が高く、放置すればサイト乗っ取り、マルウェア埋め込み、顧客情報の流出、さらには踏み台化による二次被害が現実となる。
NVD はこの問題を CVE-2025-13486 として登録、CVSS 9.8 の高スコアで深刻度を示しており、実質的に“ネット上のドアが開いた”状態だ。
脆弱性の原因は、プラグイン内の prepare_form関数が外部入力を検証せず call_user_func_arrayに渡してしまう点にある。これにより、認証なしに任意の PHP 関数(場合によってはシステムコマンド)を実行され得る。
攻撃者はバックドア設置や管理者アカウント作成でサイトを恒久的に掌握できるため、単なる“改ざん”で済まない。
既に複数のセキュリティベンダーが検出・公開しており、パッチ(0.9.2以上)への更新が公式に推奨されている。Patchstack や Wordfence、各セキュリティアラートは緊急更新と攻撃ログの確認、未適用サイトの隔離を呼びかけている。攻撃の PoC(証明コード)も公開されており、悪用が短時間で増える恐れがあるため「静観」は即座に命取りだ。
しかし問題は単に“アップデートする”だけに留まらない。多くの事業者はバックアップの欠如、管理者アクセスの共有、サーバ権限の過剰付与など運用上の欠陥を抱えており、脆弱性をきっかけに致命傷を受ける可能性が高い。セキュリティは技術的対応と運用改善の両輪であることを、今回の事例は突きつけている。
■今すぐ確認・対応すべきこと
①プラグインを0.9.2以上へ更新
②攻撃痕跡(新規管理者、未知ファイル、怪しいcron、外部通信)を全サイトでスキャン
③未更新サイトはネットワーク隔離またはWAFで緊急ブロック
④影響範囲の顧客通知とパスワード強制リセット。これを怠れば事業継続リスクは極めて高い。
■よくある10の典型的な間違い
1. 「とりあえず様子見」 — 悪用は短時間で拡大。
2. アップデート前にバックアップを取らない。
3. 管理者アカウントを複数人で共有したままにする。
4. ログやファイル改変のチェックを行わない。
5. プラグインを放置したまま “使っていない” と誤信する
6. サイト単位でしか確認せず、同一サーバの他サイトを無視する。
7. WAFやIPSに頼り切ってパッチ適用を先延ばし。
8. 脆弱性通知を受け取る仕組みを導入していない
9. 開発環境と本番環境で異なるプラグイン構成を放置する
10. インシデント対応手順が不在、または実稼働で未検証。
■今すぐやるべき実務手順
1. 即時パッチ適用:すべてのサイトで ACF-Extended を 0.9.2 以上に更新。更新前にDBとファイルのフルバックアップを保存。
2. 侵害サインのスキャン:新規管理者・不可解なPHPファイル・怪しいCron・外部通信(C2)をログとファイルシステムで探す。疑わしければ差分取得で確認。
3. 隔離と緩和:未更新サイトはWAFルールで prepare_form() へのアクセスをブロック、もしくは該当プラグインを一時無効化。Patchstack 等の緩和ルールを活用。
4. パスワード/APIキーのローテーション:管理者を含む全パスワードと外部APIキーを強制再設定。2FA 未導入なら即導入。
5. フォレンジック保存:疑わしいログ・ファイルは消さずに別保管。事後解析で被害範囲を特定する。
6. 通知と法令対応:顧客情報流出懸念がある場合、関係法令に従って通知。顧客信頼の回復策を準備。
7. 再発防止:定期アップデート体制、監視アラート、最小権限、運用ドキュメントの整備。
最後に一言。
セキュリティ対策は「コスト」ではなく「事業継続の投資」だ。今回の脆弱性は“いつか来る”類ではなく“今まさに襲来中”だ。あなたのサイトが次の犠牲者にならないよう、上のチェックリストを1つずつ潰していってください。
