【緊急警告】静かなWordPress侵害が次の大規模仮想通貨ハッキングのトリガーに—2025年8月現在の脅威

サイバー犯罪者がWordPressの脆弱性を悪用し、仮想通貨取引所への大規模攻撃を準備中だ。

■ なぜ今WordPressがターゲットになるのか？

管理不全のCMSサイトが暗号ウォレット侵入の踏み台に。セキュリティ専門家は「この夏最大の暗号危機」と警告。

■ 金融当局も把握できない影の動き

FSAの監視網をすり抜ける新たなマネーロンダリング手法が発見された。

暗号市場がまたしても「自己責任」という名の無防備さを露呈—規制が追いつく前に、またしても一般投資家が犠牲になる構図だ。

WordPressプラグインの詐欺の可能性

仮想通貨犯罪は現在急増しており、多くの予期しないベクトルが新たな詐欺攻撃を生む可能性がある。例えば、デジタルセキュリティ企業Patchstackの最近の報告では、新たなWordPressの脆弱性が新たな仮想通貨詐欺を可能にする可能性があることが明らかになった。

“40万以上のインストールを持つプラグインPost SMTPは、メール配信プラグインである。バージョン3.2.0以下では、プラグインのREST APiエンドポイントにおいて複数のアクセス制御の欠陥があり、登録ユーザー（特に権限を持たないはずのサブスクライバーレベルのユーザーを含む）が様々なアクションを実行できる”と報告されている。

これらの機能には、メール数の統計の閲覧、メールの再送信、メール本文を含む詳細なメールログの閲覧が含まれる。

WordPressのハッカーはこの脆弱性を利用してパスワードリセットメールを傍受し、管理者アカウントを乗っ取る可能性がある。

仮想通貨における多くのターゲット

では、このWordPressの脆弱性がどのようにして仮想通貨詐欺につながるのか。不幸にも、その可能性はほぼ無限である。偽のカスタマーサポートメールは多くの最近のフィッシング試行において重要な役割を果たしており、限られたメール制御でも既に危険である。

WordPressを使用する危険にさらされたサイトは、悪意のあるスクリプトやリダイレクトを使用して偽のトークンや詐欺サイトを外部リンクに挿入する可能性がある。

ハッカーはパスワードを収集し、それを取引所のリストで使用しようとする可能性がある。特定のページを開くすべてのユーザーにマルウェアを注入することさえできる。

私のウォレットは安全か？

表面的には、ほとんどの仮想通貨ウォレットやトークンプラットフォームはそのコアインフラにWordPressを使用していない。しかし、ホームページやカスタマーサポートなどのユーザーエンド機能にはよく使用されている。

堅実なエンジニアリングチームを持たない小規模または新規プロジェクトが侵害された場合、セキュリティ侵害が見過ごされる可能性がある。感染したWordPressアカウントは、将来の詐欺のためにユーザー情報を収集したり、顧客をフィッシング試行に直接誘導したりする可能性がある。

安全を保つ方法

幸いにも、Patchstackはこの特定のバグに対する修正を迅速にリリースした。しかし、Post SMTPのユーザーの10%以上がそれをインストールしていない。つまり、約4万のウェブサイトが悪用される危険性があり、大きなセキュリティリスクを抱えている。

賢明な仮想通貨ユーザーは冷静さを保ち、標準的なセキュリティ対策を講じるべきである。ランダムなメールリンクを信用せず、信頼できるプロジェクトに固執し、ハードウェアウォレットを使用するなど。最大の責任はサイト運営者自身にある。

小規模な仮想通貨プロジェクトがPatchstackのバグ修正をダウンロードせずにWordPressサイトを運営している場合、ハッカーはそれを利用して無限の詐欺リストを作成する可能性がある。要するに、仮想通貨ユーザーは非主流プロジェクトに注意を払う限り安全であるべきである。