1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. WordPressプラグイン「Gravity SMTP」の脆弱性がサイバー攻撃に悪用中(CVE-2026-4020)

WordPressプラグイン「Gravity SMTP」の脆弱性がサイバー攻撃に悪用中(CVE-2026-4020)

セキュリティニュース

投稿日時: 更新日時:

WordPressプラグイン「Gravity SMTP」の脆弱性がサイバー攻撃に悪用中(CVE-2026-4020)

WordPressセキュリティ企業Defiantが運営する「Wordfence」は2026年6月、約10万サイトにインストールされているメール配信プラグイン「Gravity SMTP」の未認証情報漏洩脆弱性が積極的に悪用されていることを警告しました。

脆弱性はCVE-2026-4020として追跡され、CVSSスコアは5.3(Medium)——NVDでは7.5と評価が分かれていますが、いずれも「ミディアム」に分類されています。原因はGravity SMTPのREST APIエンドポイント/wp-json/gravitysmtp/v1/tests/mock-datapermission_callback常にtrueを返すという単純な実装ミスで、認証なしの単一のGETリクエストだけで、プラグインが生成する約365KBの包括的なJSON「システムレポート」全体を取得できてしまいます。

このレポートにはAmazon SES・Google・Mailjet・Resend・Zohoといったメールサービスの有効なAPIキー・シークレット・OAuthトークン、WordPressの設定詳細(インストール済みプラグイン・テーマ・ソフトウェアバージョン)、サーバー・PHP環境情報、データベース設定が含まれます。

Wordfenceは本記事執筆時点で1,700万件超の攻撃試行を遮断したと報告しており、攻撃量は2026年6月7日に1日あたり400万件超のピークを記録しました。脆弱性は2026年3月17日リリースのバージョン2.1.5で修正済みですが、パッチ公開から約3か月後に攻撃が最大規模に達しています。本記事ではWordfence・CrowdSecの一次技術分析をもとに、脆弱性の仕組み・悪用のタイムライン・対応手順を解説します。

サマリー

  • 脆弱性:CVE-2026-4020(Gravity SMTPプラグインの未認証情報漏洩)
  • CVSSスコア5.3(Medium、Wordfence評価)——NVDでは7.5と評価が分かれる
  • 影響を受けるバージョン:Gravity SMTP 2.1.4以前のすべてのバージョン
  • 修正バージョン2.1.5(2026年3月17日リリース)
  • 脆弱性の公開日:2026年3月30日(Wordfence公表)/2026年3月31日(CrowdSec記録)
  • インストール数:約10万サイト
  • 原因:REST APIエンドポイント/wp-json/gravitysmtp/v1/tests/mock-datapermission_callbackが無条件にtrueを返すため、認証なしで誰でもアクセス可能
  • 悪用の手口?page=gravitysmtp-settingsというクエリパラメータを付与してGETリクエストを送信するだけで、プラグインのregister_connector_data()メソッドが起動し、約365KBのJSON形式のシステムレポート全体が返される
  • 漏洩する情報:
    • メール連携に設定されたAPIキー・シークレット・OAuthトークン
    • Amazon SES・Google・Mailjet・Resend・Zoho等サードパーティメールサービスの認証情報
    • インストール済みプラグイン・テーマ・ソフトウェアバージョンを含むWordPress設定詳細
    • サーバー・PHP環境情報
    • データベースのサーバーバージョン・テーブル名を含む設定詳細
  • 攻撃のタイムライン:
    • 2026年5月初旬:攻撃活動が開始
    • 5月22日:CrowdSecが検知ルールを展開
    • 5月27日:CrowdSecが実環境での初の悪用を観測
    • 6月1日時点:CrowdSecが「バックグラウンドノイズ」(自動スキャンルーチンに組み込み済み)に分類。5月27日〜6月1日の間に412の異なる攻撃元IPを検知(主にフランス・オランダ・米国を発信源)
    • 6月6〜7日:攻撃量が急増。6月7日に1日4百万件超のブロックを記録
    • 6月7〜11日:高水準の攻撃が継続
  • 累計ブロック数1,700万件超(Wordfence確認)
  • Wordfenceの防御提供タイミング:プレミアム/Care/Response利用者は5月5日(脆弱性の一般開示前、社内モニタリングで活動拡大を検知して異例の対応)。無料版利用者は6月4日(急増の前日)
  • 被害環境の傾向:CrowdSec確認でECサイト(commerce)が55%SOHO環境が39%
  • 攻撃者の特定:Wordfenceは特定の脅威主体への帰属を明らかにしていない。少数IPクラスタからの大規模自動スキャンというパターンは、標的型侵入というより日和見的な認証情報収集に一致
  • 同時に修正された別の脆弱性:CVE-2026-8713(Avada Builderプラグイン、約100万サイトにインストール、CVSS Critical評価の認証不要任意ファイル削除脆弱性)も同時期にWordfenceが警告。修正版3.15.4。こちらは本記事執筆時点で積極的な悪用は未確認

攻撃のタイムライン—「パッチ公開から3か月後にピーク」という典型的なパターン

CrowdSecが裏付けた独立した観測

TechTimesが報じたCrowdSecの観測データによれば、CrowdSecは2026年5月22日にCVE-2026-4020への検知機能を展開し、5月27日に実環境での初の悪用を確認しました。6月1日までに、この活動は**「バックグラウンドノイズ(Background Noise)」**——WordPressサイトを大規模に走査する自動化されたスキャンルーチンに既に組み込まれた状態——として分類されています。

CrowdSecは5月27日から6月1日の間だけで412の異なる攻撃元IPアドレスを識別しており、主な発信源はフランス・オランダ・米国でした。CrowdSecはこの地理的分布について「単一の協調されたグループというより、分散されたクラウド・ホスティングインフラに一致する」と分析しています。

被害側の傾向——ECサイトとSOHO環境が中心

CrowdSecの調査では、観測された被害アクティビティのうちECサイト(commerce)が55%、**SOHO(小規模オフィス・在宅オフィス)環境が39%**を占めていることが判明しています。これはメール配信プラグインが、注文確認・問い合わせフォーム・通知メールといった日常的な機能のために広く使われていることを反映しています。

Wordfenceの「異例の早期対応」

TechTimesの分析によれば、Wordfenceはプレミアム・Care・Response利用者に対し2026年5月5日にファイアウォール保護を提供しています。これは脆弱性が一般に公開される前のタイミングであり、社内モニタリングで攻撃活動の拡大を検知したことを受けた、通常の開示ワークフローの外での異例の対応でした。

一方、無料版(Free)のWordfence利用者がファイアウォール保護を受け取ったのは6月4日——攻撃量が急増する前日でした。この約1か月のタイムラグは、有料版・無料版ユーザー間の防御格差を示す事例として注目されます。

「パッチ公開から悪用ピークまで約3か月」という構造的問題

TechTimesは今回の事案の本質的な問題として「パッチがいつ利用可能になるかと、それがいつ実際に展開されるかの間のギャップこそが、WordPressプラグインエコシステムにおける最も根深い脆弱性である」と指摘しています。

修正版(2.1.5)は2026年3月17日から利用可能であったにもかかわらず、攻撃のピークはその2か月半以上後に訪れました。Patchstackの2026年セキュリティデータによれば、プラグインの脆弱性の52%は公開開示前に開発者パッチを受け取っておらず、また激しく標的にされる脆弱性では、大規模な悪用が公開からわずか5時間以内に始まることが多いとされています。

CVSSスコアの「ラベルの誤り」が招いた過小評価

TechTimesは興味深い指摘をしています。「未認証の情報漏洩脆弱性で、外部SaaSサービスへの有効な認証情報を露出させるものは、機能的には認証情報窃取攻撃そのものである——しかしCVSSスコアでパッチ適用の優先順位をつけるサイト管理者は、この脆弱性を体系的に後回しにしてしまう」。

「Medium」評価という分類が、実際の運用上の深刻さ(メールサービスの完全な乗っ取りにつながる可能性)を十分に伝えられなかったことが、6週間で1,700万件という規模の悪用を許した一因と分析されています。

脆弱性の技術的詳細—「permission_callbackがtrueを返す」という単純なミス

REST APIにおける認証チェックの欠如

cybersecuritynewsの技術解説によれば、問題の核心はWordPressのREST API登録時に指定するpermission_callbackという関数にあります。本来この関数は「このリクエストを実行してよいユーザーかどうか」を判定する役割を持ちますが、Gravity SMTPの該当エンドポイントでは、この判定関数が常に無条件でtrue(許可)を返すように実装されていました。

これにより、ログインの有無にかかわらず、インターネット上の誰もが以下の単純なHTTPリクエストだけでシステムレポート全体を取得できる状態になっていました。

GET /wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings HTTP/1.1

cyberpress.orgの分析によれば、?page=gravitysmtp-settingsというクエリパラメータが付与されると、プラグインのregister_connector_data()メソッドが内部のコネクタデータを生成し、結果としてエンドポイントが約365KBのJSON形式の完全なシステムレポートを返す仕組みになっていました。

なぜ「読み取り専用」が検知を困難にするのか

cybersecuritynewsが指摘する重要な点は、この脆弱性がファイルの改ざんやペイロードの注入を一切行わない読み取り専用(read-only)の脆弱性であることです。このため、新規管理者アカウントの作成やWebシェルの設置といった従来型の侵害指標が存在しない場合でも、既に認証情報が窃取されている可能性があります。痕跡はWebサーバーのアクセスログにのみ残ります。

 

漏洩した認証情報で何ができるか

Wordfence研究者は次のように警告しています。

「ライブのサードパーティAPI認証情報の露出は、攻撃者がサイトに接続されたメールサービスを悪用できることを意味し、詳細なシステムレポートはサイトに対するさらなる攻撃を計画するために必要な労力を大幅に下げてしまう」

具体的には以下のリスクが想定されます。

①メールサービスを使ったなりすまし:窃取したAmazon SES・Google・Mailjet・Resend・Zoho等のAPIキーを使い、攻撃者が被害サイトの正規のメール送信チャネルを通じてフィッシングメール・スパムを送信できます。

②さらなる攻撃の偵察情報としての悪用:インストール済みプラグイン・テーマ・バージョン情報・データベース設定が漏洩することで、攻撃者は他の脆弱性を組み合わせた追加攻撃の計画を立てやすくなります。

対応手順

① Gravity SMTPのバージョン確認とアップデート

# WP-CLIを使用する場合
wp plugin list | grep gravity-smtp

バージョンが2.1.4以前の場合は直ちに2.1.5以降へアップデートしてください。

② すべての認証情報を「漏洩済み」として扱い、即時ローテーション

Wordfenceのアドバイザリは、脆弱なバージョンのGravity SMTPを運用しサードパーティのメール連携を設定していたサイト運営者に対し、侵害を前提として行動することを強く推奨しています。プラグインのアップデート後、メールコネクタに設定されているすべてのAPIキー・シークレット・OAuthトークンを直ちにローテーションしてください。

対象となる可能性のあるサービス:

  • Amazon SES
  • Google(Gmail API等)
  • Mailjet
  • Resend
  • Zoho

③ アクセスログの確認

以下のリクエストパターンがWebサーバーのアクセスログに存在しないか確認してください。

/wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings

このリクエストの記録が見つかった場合、その時点で認証情報が外部に渡った可能性が高いと判断してください。

④ 公開された攻撃元IPアドレスのブロック

Wordfenceが公開している主要な攻撃元IPアドレス一覧を確認し、ファイアウォール・WAFでブロックリストに追加してください(具体的なIPアドレスはWordfence公式アドバイザリを参照)。

⑤ Web Application Firewall(WAF)によるエンドポイントの保護

可能であれば、Webサーバー設定またはWAFルールを用いて/wp-json/gravitysmtp/v1/tests/mock-dataへの未認証アクセスを直接ブロックし、REST APIへのアクセスを信頼できるIPレンジに限定することを検討してください。

⑥ Avada Builderプラグインも併せて確認(同時期の別件)

約100万サイトにインストールされている「Avada Builder」プラグインでも、別の重大な脆弱性CVE-2026-8713(認証不要の任意ファイル削除、パストラバーサル)が確認されています。wp-config.phpが削除された場合、サイトが初期セットアップ状態に戻され完全な乗っ取りにつながる可能性があります。修正版は3.15.4です。本記事執筆時点で積極的な悪用は確認されていませんが、早期のアップデートが推奨されます。

FAQ

Q. サードパーティのメール連携を設定していない場合も対応が必要ですか? A. はい。たとえメール連携を設定していなくても、WordPressの設定詳細・サーバー情報・データベース構成情報が漏洩する可能性があるため、プラグインのアップデートは必須です。メール連携を設定していた場合は、追加で認証情報のローテーションが必要です。

Q. なぜCVSSスコアの評価が「5.3」と「7.5」で異なるのですか? A. Wordfenceは独自の評価基準で5.3(Medium)としていますが、NVD(米国国家脆弱性データベース)は7.5と評価しています。スコアの算定機関によって評価基準・重み付けが異なるため、こうした差異が生じることがあります。本記事ではいずれの評価も「実際の運用上のリスクの高さを完全には反映していない」可能性がある点を踏まえ、CVSSスコアのみでパッチ適用の優先順位を判断しないことを推奨します。

Q. 攻撃者の正体は特定されていますか? A. Wordfenceは特定の脅威グループへの帰属を明らかにしていません。少数のIPクラスタからの大規模自動スキャンというパターンは、標的を絞った侵入というより日和見的な認証情報収集に一致するとされていますが、窃取された認証情報がより高度な攻撃者へ販売・共有され、後続の攻撃に利用される可能性は排除されていません。

参考情報

関連記事

Jenkinsの複数プラグインに脆弱性(CVE-2026-48920,CVE-2026-48921,CVE-2026-48922)Jenkinsの複数プラグインに脆弱性(CVE-2026-48920,CVE-2026-48921,CVE-2026-48922) LiteSpeed User-End cPanelプラグインの脆弱性 CVE-2026-48172がサイバー攻撃に悪用中LiteSpeed User-End cPanelプラグインの脆弱性 CVE-2026-48172がサイバー攻撃に悪用中 Oracleが2026年5月の定例パッチを公開-致命的な脆弱性 CVE-2026-46840など35件を修正Oracleが2026年5月の定例パッチを公開-致命的な脆弱性 CVE-2026-46840など35件を修正 Jenkins複数プラグインの深刻な脆弱性を修正(CVE-2025-47889,CVE-2025-47884,CVE-2025-47885)Jenkins、複数プラグインの深刻な脆弱性を修正(CVE-2025-47889,CVE-2025-47884,CVE-2025-47885) WordPressのPost SMTPプラグインに深刻な脆弱性(CVE-2025-11833)-40万サイトへ影響WordPressのPost SMTPプラグインに深刻な脆弱性(CVE-2025-11833)-40万サイトへ影響 WordPressの「Post SMTP」プラグインに深刻なアカウント乗っ取りの脆弱性、40万サイト以上に影響(CVE-2025-24000)WordPressの「Post SMTP」プラグインに深刻なアカウント乗っ取りの脆弱性、40万サイト以上に影響(CVE-2025-24000) LiteSpeedのcPanelプラグインにCVSS 10.0のゼロデイ 脆弱性 CVE-2026-48172が実際のサイバー攻撃で悪用LiteSpeedのcPanelプラグインにCVSS 10.0のゼロデイ 脆弱性 CVE-2026-48172が実際のサイバー攻撃で悪用 LiteSpeed cPanel プラグインの脆弱性 CVE-2026-54420がKEVカタログに追加LiteSpeed cPanel プラグインの脆弱性 CVE-2026-54420がKEVカタログに追加 WordPress プラグイン「GutenKit」「Hunk Companion」を狙う大規模なサイバー攻撃が再燃WordPress プラグイン「GutenKit」「Hunk Companion」を狙う大規模なサイバー攻撃が再燃