## 悪用されているWordPressプラグインのRCE 攻撃者は、約4,000の有効なインストールを持つ人気の**WordPress**プラグインである**Everest Forms Pro**の致命的なセキュリティ上の欠陥を積極的に悪用しています。この悪用により、任意のコード実行が可能になり、影響を受けるウェブサイトの完全な侵害につながる可能性があります。 **CVE-2026-3300**（CVSSスコア：9.8）として追跡されているこの脆弱性は、1.9.12までのすべてのプラグインバージョンに影響を与えるリモートコード実行（RCE）バグです。パッチは2026年3月18日にバージョン1.9.13でリリースされました。 **Wordfence**によると、この欠陥は`Calculation Addon`の`process_filter()`関数に起因しています。この関数は、`eval()`に渡す前に、ユーザーが送信したフォームフィールドの値を適切にエスケープせずにPHPコード文字列に連結します。これは、彼らの[ブログ記事](https://www.wordfence.com/blog/2026/06/attackers-actively-exploiting-critical-vulnerability-in-everest-forms-pro-plugin/)で詳述されています。 **Wordfence**は、「入力に適用される`sanitize_text_field()`関数は、単一引用符やその他のPHPコードコンテキスト文字をエスケープしません」と説明しています。「これにより、認証されていない攻撃者は、フォームが「複雑な計算」機能を使用している場合に、任意の文字列タイプのフォームフィールド（テキスト、メール、URL、セレクト、ラジオ）に細工された値を送信することで、サーバー上で任意のPHPコードを挿入して実行することが可能になります。」 悪用に成功すると、認証されていない攻撃者はサーバー上で任意のPHPコードを実行できるようになります。これにより、不正な管理者アカウントの作成、Webシェル（shellcode）の展開、およびより深いサーバー侵入のための永続的な足場（foothold）の確立が可能になります。 攻撃者は2026年4月13日にこの脆弱性の悪用を開始しました。**Wordfence**は、これまでに30,000件近くの悪用試行をブロックしたと報告しており、過去24時間で16件の試行が発生しています。観測された一般的なペイロード（payload）には、侵害されたサイトに「diksimarina」という名前で`[email protected]`というメールアドレスの管理者アカウントを作成することが含まれています。これは彼らの[脅威インテリジェンス](https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/everest-forms-pro/everest-forms-pro-1912-unauthenticated-remote-code-execution-via-calculation-field)で指摘されています。 観測された攻撃試行は、以下のIPアドレスから発生しています。 * 202.56.2.126 * 209.146.60.26 * 15.235.166.18 * 2402:1f00:8000:800::40db * 185.78.165.153  ## Eコマーススキマー攻撃がC2に信頼できるサービスを悪用 関連ニュースとして、**Sansec**は、**Stripe**のような信頼できるサービスをコマンド＆コントロール（C2）およびデータ漏洩に巧妙に悪用する複数のスキマーキャンペーンを明らかにしました。この戦術は、これらのブランドの評判を悪用して、Content Security Policy（CSP）ルールやネットワークフィルターを回避します。 **Sansec**は彼らの[調査](https://sansec.io/research/stripe-api-skimmer-infrastructure)で、「攻撃者は**Stripe**を請求の洗浄方法ではなく、無料のインフラストラクチャとして扱っています」と指摘しています。「**Stripe**は、盗まれたカード用の書き込み可能なデータベースと、スキマー用のコードホスティングエンドポイントを提供します。どちらも、CSPルールとネットワークフィルターがデフォルトで信頼するドメインの背後にあります。」 これらのキャンペーンは、オンラインストアから暗黙的に信頼されている**Google Tag Manager**（GTM）および**Stripe**ドメイン（googletagmanager.comおよびapi.stripe.com）に依存しています。悪意のあるコードはGTMコンテナからロードされ、それが存在するすべてのページで実行されます。 **Magento**および**Adobe Commerce**のチェックアウトページでは、難読化されたスキマーが[Stripe顧客アカウント](https://docs.stripe.com/api/customers/)のメタデータフィールド（例：「cus_TfFjAAZQNOYENR」）から抽出されます。その後、財務情報、請求詳細、メールアドレス、電話番号を[localStorage](https://developer.mozilla.org/en-US/docs/Web/API/Window/localStorage)に保存してから、キャプチャされたデータを攻撃者の**Stripe**アカウントに漏洩します。 「盗まれたカードごとに、攻撃者のアカウントに「顧客」が作成されます」とEコマースセキュリティ企業は述べています。「成功すると、ローダーは`localStorage`エントリを削除するため、同じレコードが二重に送信されることはありません。攻撃者は、同じAPIを同じキーで呼び出すことで、後で盗まれたカードを一覧表示します。**Stripe**の顧客データベースは、無料の耐久性のある漏洩シンクになります。」 スキマーを含む**Stripe**顧客レコードは、2025年12月24日に作成されたと報告されており、長期にわたる運用を示唆しています。**Sansec**は、**Stripe**の代わりに**Google Firestore**を使用したバリアントも特定しており、信頼できるサービスを隠密チャネルとして悪用するより広範な戦略を示しています。 これらの発見は、5,714の偽の.shopストアフロントのクラスターを利用した**GorgonAgora**と呼ばれる大規模な運用と一致しています。これらの偽装サイトは、Starbucks、Ford、Sony、Mattel、Hasbro、Lego、Disney、Toyotaのような人気ブランドを模倣し、チェックアウトページから盗まれたカードデータをモルドバの単一のスキマーサーバーに流しています。このキャンペーンは、[Sansecのレポート](https://sansec.io/research/gorgonagora-fake-storefront-skimming-network)で詳述されているように、2025年8月から活動しています。 オランダの企業は、「すべてのストアで同じ**Medusa.js**コマーススタックが実行され、同じカスタムチェックアウトSDKがロードされます。これは、偽の**Stripe** iframeをレンダリングし、暗号化されたWebSocket経由でモルドバの単一サーバーにカードデータを漏洩します」と詳述しています。 GorgonAgora内の漏洩は、WebSocketと**AES-256-GCM**ペイロードを使用しています。C2インフラストラクチャは、ライブの**3D Secure**リレーを維持し、銀行のチャレンジを偽のiframe経由で買い物客にプロキシしてトランザクションを完了させ、盗難を目立たないようにします。