MW WP Formに深刻な脆弱性 | サイト乗っ取りの危険性

2026.04.03

OVERVIEW

2026年3月、WordPress用フォーム作成プラグイン「MW WP Form」に、認証不要の任意ファイル移動脆弱性が発見されました。この脆弱性はログイン不要で、サーバー上の重要ファイルを自由に移動・削除できるという極めて深刻な問題です。

脆弱性はCVE-2026-4347として追跡されており、深刻度はCVSSスコア8.1(High:高)と評価されています。影響を受けるのは、世界中で20万以上のWordPressサイトです。攻撃者は、wp-config.phpなどの重要ファイルを削除し、サイト全体を乗っ取ることが可能でした。

バージョン5.1.1(2026年3月26日リリース)で修正済みですが、まだ更新していないサイトは今すぐ対応が必要です。特に注目すべきは、日本国内で広く使われているお問い合わせフォームプラグインに脆弱性が見つかったという点で、日本語圏のサイト運営者にとって非常に重要な情報です。

MW WP Formプラグインとは

MW WP Formは、日本の株式会社Monkey Wrench(現在はWeb相談社が保守)が開発する無料のWordPressフォーム作成プラグインです。国産プラグインならではの「確認画面」「完了画面」「自動返信メール」が標準搭載されており、日本のビジネス慣習に最適化された設計が特徴です。

主な機能には、ドラッグ&ドロップで作成できる直感的なフォームビルダー、郵便番号から住所の自動入力、カレンダー形式の日付選択(Datepicker)、ファイル・画像のアップロード機能、お問い合わせデータのデータベース保存、CSVエクスポート機能などがあります。Contact Form 7と並んで、日本国内で最も人気のあるフォームプラグインの一つとして、企業サイトやECサイトで広く採用されています。

なぜMW WP Formが注目されているのか

日本国内のWordPressサイトにおいて、フォームプラグインは「Contact Form 7」と「MW WP Form」の2強状態が続いています。MW WP Formは特に確認画面が標準で実装できるという点で、「入力→確認→送信」という日本独自のユーザー体験を求める企業サイトに支持されてきました。

2026年現在、世界中で20万以上のアクティブインストールを誇り、特に日本語圏での採用率が非常に高いプラグインです。企業のコーポレートサイト、採用サイト、ECサイトのお問い合わせフォーム、資料請求フォーム、予約フォームなど、幅広い用途で使用されています。

しかし、2024年には開発終了がアナウンスされ、現在はメンテナンスのみが継続されている状態です。それでも多くのサイトで使い続けられており、今回の脆弱性により「お問い合わせフォームがセキュリティの穴になる」という深刻な事態が発生しました。

また、2026年に入りWordPressプラグインの脆弱性報告が急増しており(週に100件以上の新規報告も珍しくない)、特にフォームプラグインはファイルアップロード機能を持つため攻撃者に狙われやすい傾向があります。

発見された脆弱性の詳細

今回発見された脆弱性には、CVE-2026-4347という識別番号が割り当てられ、CVSS(共通脆弱性評価システム)スコアは8.1(High:高)と評価されています。

影響を受けるバージョン:5.1.0以前の全バージョン
修正バージョン:5.1.1(2026年3月26日リリース)
脆弱性の種類:任意ファイル移動(Arbitrary File Move)、認証不要
公開日:2026年4月初旬
発見者:ISMAILSHADOW氏
発見日:2026年3月16日
ベンダー通知日:2026年3月24日(Wordfence経由)
報奨金:3,105ドル(Wordfence Bug Bounty Program)

何が問題だったのか

この脆弱性は、MW WP Formプラグイン内のgenerate_user_filepath()関数とmove_temp_file_to_upload_dir()関数に存在していました。これらの関数は、フォームからアップロードされたファイルをサーバー上で処理する際に使用されますが、ファイルパスの検証が不十分でした。

1. ファイルパス検証の不備
通常、ファイルを扱う処理では、ユーザーが指定したファイル名やパスが「相対パス」(例:../../../etc/passwd のような、親ディレクトリへの遡り)を含んでいないかチェックします。MW WP Formでも、このチェックは実装されていました。

しかし、「絶対パス」(例:/var/www/html/wp-config.php のような、ルートディレクトリからの完全なパス)についてはチェックが行われていませんでした。これにより、攻撃者は相対パスの検証をすり抜けて、サーバー上の任意のファイルを指定できました。

2. Wordfenceの公式説明
Wordfenceの公式発表では、次のように説明されています:

「MW WP Formプラグインのバージョン5.1.0以前には、任意ファイル移動脆弱性が存在します。これは、generate_user_filepath()関数およびmove_temp_file_to_upload_dir()関数において、ファイルパスの検証が不十分だったためです。相対パス(../)のチェックは実装されていましたが、絶対パスの使用を防ぐことはできませんでした。」

3. 任意ファイル移動の仕組み
攻撃者は以下のような手順で攻撃を実行できました:

MW WP Formのフォームにアクセス
ファイルアップロード欄に細工したリクエストを送信
ファイルパスとして「/var/www/html/wp-config.php」などの絶対パスを指定
プラグインが、指定されたファイルをuploadsディレクトリに「移動」しようとする
結果として、wp-config.phpが元の場所から削除される

この攻撃の恐ろしい点は、ファイルが「移動」されるという動作です。移動とは、コピーではなく「元の場所から削除して、新しい場所に配置する」ことを意味します。たとえて言えば、「家の鍵を勝手にゴミ箱に捨てられる」ようなイメージです。

重要な補足:影響を受ける条件

この脆弱性について理解しておくべき重要なポイントがあります。

✅ 影響を受ける条件

MW WP Formプラグインバージョン5.1.0以前がインストール・有効化されている
フォームにファイルアップロード欄が設置されている(ショートコード:[mwform_file name="file"])
フォーム設定で「問い合わせデータをデータベースに保存する」オプションが有効になっている
攻撃者がログインしていなくても攻撃可能(認証不要)

⚠️ なぜ「認証不要」が深刻なのか

多くのWordPress脆弱性は「管理者権限でログイン済み」という条件が必要ですが、今回の脆弱性はログイン不要です。これは以下を意味します:

世界中どこからでも - 攻撃者の所在地は問わない
アカウント不要 - ログイン画面を突破する必要がない
大規模自動攻撃 - ツールを使って数千サイトを同時に攻撃可能
痕跡が残りにくい - 通常のフォームアクセスと区別がつきにくい

ただし、「データベース保存」オプションが無効の場合、この脆弱性の影響は受けません。これは、ファイル保存処理自体が実行されないためです。しかし、多くの企業サイトでは顧客管理のためにこのオプションを有効にしているため、実質的には広範囲に影響があると考えられます。

影響とリスク

この脆弱性が悪用された場合、以下のような深刻な被害が発生する可能性があります。

1. wp-config.php削除によるサイト乗っ取り

wp-config.phpは、WordPressの「心臓部」とも言えるファイルです。このファイルには以下の重要情報が記載されています:

データベース接続情報(ホスト名、データベース名、ユーザー名、パスワード)
セキュリティキー(認証用の秘密鍵)
WordPressの各種設定

このファイルが削除されると、WordPressは「未インストール状態」と判断し、セットアップ画面を表示します。攻撃者はこのセットアップ画面で、自分が用意したデータベースを接続できます。

攻撃シナリオ:

攻撃者がMW WP Formの脆弱性を使ってwp-config.phpを削除
サイトが「初期セットアップ」状態になる
攻撃者が自分の管理下にあるデータベースを接続
攻撃者が管理者アカウントを作成
サイト全体が攻撃者の支配下に

元のデータベースはサーバー上に残っていますが、WordPressがそのデータベースを参照しなくなるため、実質的に「サイトが別物に入れ替わる」状態になります。

2. その他の重要ファイルの削除

攻撃者は、wp-config.php以外にも以下のファイルを削除できます:

.htaccess - Webサーバーの設定ファイル(リダイレクト設定、セキュリティルール)
index.php - WordPressのエントリーポイント
プラグインの重要ファイル - セキュリティプラグインの設定など
テーマファイル - サイトの表示が崩れる

これらのファイルが削除されると、サイトが正常に動作しなくなったり、セキュリティ対策が無効化されたりします。

3. 二次被害・連鎖的な攻撃

サイトが乗っ取られると、以下のような被害に発展します:

バックドアの設置 - 管理者がパスワードを変更しても、裏口から侵入され続ける
マルウェア配布サイト化 - 訪問者のPCにウイルスを感染させる不正サイトに改造される
SEOスパム - 不正なリンクやコンテンツを大量に埋め込まれ、検索順位が急落
フィッシング詐欺の踏み台 - 偽ログイン画面を設置し、他サイトのユーザー情報を盗む
ランサムウェア攻撃 - サイトデータを暗号化し、身代金を要求される
DDoS攻撃の踏み台 - 乗っ取られたサイトを使って他サイトを攻撃

4. ビジネスへの影響

ブランド信頼の失墜 - 「セキュリティが甘い企業」というレッテル
顧客離れ - 「このサイトは安全なのか?」という不安
法的リスク - 個人情報保護法違反で罰金や訴訟
復旧コスト - セキュリティ専門家による調査、システム再構築で数十万〜数百万円
機会損失 - サイト停止期間中の売上ゼロ、問い合わせ機会の喪失

特に、ECサイトや会員制サイト、企業のコーポレートサイトなど、顧客との接点となるサイトでは、被害が深刻化します。

総合評価

CVSS(共通脆弱性評価システム)のスコアは8.1(High=高)です。これは以下を意味します:

深刻度が高く、最優先で対応すべき
認証不要で攻撃可能という点で、実質的な危険性は極めて高い
サイト乗っ取りという最悪のシナリオが現実的に起こり得る
20万サイトという影響範囲の広さ

対処方法

MW WP Formプラグインを使用している場合は、以下の優先順位で今すぐ対応してください。

1. バージョン5.1.1以上への更新(最優先・最も推奨)

最も確実で効果的な対策は、プラグインを最新版に更新することです。

実施手順:

バックアップを取得(必須) - 更新前に必ずバックアップを取得してください。UpdraftPlus、BackWPupなどのバックアッププラグイン、またはホスティング会社のバックアップ機能を利用してください。
WordPress管理画面にログイン
左メニュー「プラグイン」→「インストール済みプラグイン」をクリック
「MW WP Form」を探す
「更新」ボタンをクリック(更新がある場合のみ表示)
更新完了後、バージョンが「5.1.1」以上になっていることを確認
サイトの表示とフォームの動作を確認し、エラーがないかチェック

バージョン確認方法:

「プラグイン」→「インストール済みプラグイン」を開く
MW WP Formの説明文の下に「バージョン X.X.X」と表示されています
バージョンが5.1.0以前の場合は、すぐに更新してください

自動更新の設定(推奨):

「プラグイン」→「インストール済みプラグイン」を開く
MW WP Formの「自動更新を有効化」をクリック

これにより、セキュリティアップデートが公開されると自動的に適用されます。

2. セキュリティ監査の実施(推奨)

もしバージョン5.1.0以前を長期間使用していた場合、すでに攻撃を受けている可能性があります。以下をチェックしてください。

チェック項目:

① wp-config.phpファイルの存在確認

FTPまたはファイルマネージャーでサーバーにアクセス
WordPressのルートディレクトリに「wp-config.php」が存在するか確認
ファイルが存在しない、または内容が改ざんされている場合は要注意

② 管理者アカウントの確認

「ユーザー」→「ユーザー一覧」を開く
身に覚えのないユーザーアカウントが追加されていないか
特に「管理者」権限のアカウントに注意

③ アクセスログの確認

セキュリティプラグイン(Wordfence、iThemes Securityなど)のログを確認
または、サーバーのアクセスログ(ホスティング会社に依頼)
不審なIPアドレスからの大量アクセスがないか
特に、フォームURLへの異常なアクセスパターンに注意

④ ファイル改ざんチェック

Wordfence、Sucuriなどのマルウェアスキャンツールでサイト全体をスキャン
特にwp-content/uploadsフォルダに不審なPHPファイルがないか
.htaccessファイルが改ざんされていないか

⑤ データベースの確認

phpMyAdminでwp_optionsテーブルを確認
特に「siteurl」「home」が改ざんされていないか確認

⚠️ 注意:自社で判断が難しい場合は、専門のセキュリティ診断サービスの利用を検討してください。

3. パスワードの変更(強く推奨)

攻撃を受けた可能性がある場合、念のため以下のパスワードを変更してください。

WordPress管理者アカウント - すべての管理者ユーザー
データベース接続パスワード - wp-config.phpに記載されているDB_PASSWORD
FTP/SFTPアカウント - サーバーへのファイルアップロード用
サーバー管理パネル - cPanel、Pleskなど

強固なパスワードの条件:

12文字以上(16文字以上を推奨)
大文字・小文字・数字・記号をすべて含む
辞書に載っている単語を使わない
他のサービスと同じパスワードを使い回さない
パスワード管理ツール(1Password、Bitwardenなど)で生成・管理

良い例:k9#Lm2$Qs7@Pv4^Zx
悪い例:company2026、password123、tanaka1980

4. 代替プラグインへの移行検討(長期的対策)

MW WP Formは2024年に開発終了がアナウンスされており、現在はメンテナンスのみです。長期的には、以下の代替プラグインへの移行を検討してください:

Contact Form 7 - 世界シェアNo.1、日本製、無料
WPForms - ドラッグ&ドロップで直感的、有料版は高機能
Gravity Forms - プロフェッショナル向け、有料
Forminator - WPMU DEV製、無料版でも高機能

5. 今後の予防策

① セキュリティプラグインの導入

Wordfence Security
iThemes Security(Solid Security)
All In One WP Security & Firewall

これらのプラグインは、ファイアウォール、マルウェアスキャン、ログイン試行回数制限などの機能を提供します。

② 定期的なバックアップ

最低でも週1回の自動バックアップを設定
バックアップデータは必ずサーバー外(Googleドライブ、Dropbox、AWS S3など)に保存
30〜90日分のバックアップ履歴を保持

③ 脆弱性情報の監視

Wordfence、Patchstack、WPScanなどの脆弱性データベースを定期チェック
使用しているプラグインの公式情報を購読

まとめ

MW WP Formプラグインに発見された任意ファイル移動脆弱性(CVE-2026-4347)は、認証なしでサーバー上の重要ファイルを削除できるという極めて深刻な問題でした。CVSS 8.1(High)という高い深刻度評価に加え、「誰でも、どこからでも、ログインなしで攻撃できる」という点で、実質的な危険性は非常に高いと言えます。

20万以上のサイトで使用されている人気プラグインのため、影響範囲は広大です。特に日本国内で広く採用されていることから、日本語圏のサイト運営者にとって見逃せない脆弱性です。wp-config.phpが削除されると、サイト全体が乗っ取られ、顧客情報の流出、マルウェア配布、SEOスパムなど、深刻な二次被害につながります。

幸い、バージョン5.1.1(2026年3月26日リリース)で修正済みですので、まだ更新していない方は今すぐ対応してください。また、すでに攻撃を受けている可能性もあるため、wp-config.phpの存在確認、管理者アカウントのチェック、マルウェアスキャンなどのセキュリティ監査も実施してください。

今回の事例は、「お問い合わせフォームがセキュリティの穴になる」という重要な教訓を示しました。フォームプラグインは、ファイルアップロード機能を持つため、特に攻撃者に狙われやすい傾向があります。プラグインの定期更新、強固なパスワード設定、セキュリティ監視ツールの導入など、多層的な防御策を講じることが、安全なサイト運営には不可欠です。

WordPressのセキュリティは「一度設定すれば終わり」ではありません。継続的な監視と更新、そして適切な保守管理によって初めて安全なサイト運営が実現できます。

参考

弊社では、WordPressサイトの定期的な保守サービスを提供しています。

今回のような重大な脆弱性への迅速な対応、プラグインやテーマの定期アップデート、バックアップ、ウイルススキャンなどを、専門のエンジニアが手動で実施いたします。
自動化ではなく手動対応にこだわることで、状況に応じた柔軟な判断と、問題の即時発見・修復が可能になります。
サイト運営者様が長期間チェックをしなくても、常に最新で最適なセキュリティ状態を維持できるよう、全力でサポートいたします。

また、不正ログインや外部からの攻撃に対しては、独自設定のファイアウォールにより24時間サイトを監視・防御。攻撃の増加や異常を検知した際には、エンジニアが即座に対応いたします。

WordPressのセキュリティに不安を感じている方、プラグイン更新の管理に手が回らない方は、ぜひ弊社の保守サービスをご検討ください。

▼ WordPressサイトのセキュリティ保守サービスはこちら ▼

一覧に戻る