注意喚起：WordPressの人気プラグイン30個が買収され、バックドアが仕込まれた件について

WordPress界隈でかなり深刻な事態が発生しています。誰かが人気のあるWordPressプラグインを30個も買い占め、そのすべてにバックドア（不正な裏口）を仕込んでいたことが判明しました。現在、自身のサイトで特定のプラグインを使用しているユーザーは、今すぐ最新のセキュリティ情報を確認し、怪しいプラグインが混ざっていないかチェックすることをおすすめします。供給チェーン攻撃の恐ろしい現実を突きつける事例です。

Webプロジェクトを見るたびに、まずは「npm install」から始まって、文字通り何十ものライブラリがダウンロードされるよね。プロジェクトの作者自身、自分のプロジェクトにどんなライブラリが必要なのかすら把握してないんじゃないかな。多くは間接依存（transitive dependencies）だし。サプライチェーン攻撃がないか、それらのライブラリをチェックしてる可能性なんてゼロに近いよ。

FAIRパッケージマネージャーのプロジェクトが成功してほしかったけど、WordPressの騒動が落ち着いた後に諦めちゃったみたいだね。https://fair.pm/ 。FAIRのアーキテクチャはすごく面白くて、atprotoにインスパイアされてるんだ。最近起きてるサプライチェーン攻撃を抑えるポテンシャルがあると思う。FAIRには中央リポジトリがなくて、atprotoのPDSみたいに誰でも運用できる。パッケージにはDIDがあって、どのリポジトリからでもルーティング可能。検索やフロントエンドを提供するアグリゲーターもいれば、Blueskyみたいにリポジトリやフロントエンドとは独立した「ラベラー（labelers）」もいる。だからSocketみたいな組織が、自分たちの分析結果をパッケージにラベル付けして、エコシステム全体に見えるようにできるんだ。インストーラー側でSocketがフラグを立てたパッケージを禁止したり、新しいDIDが公開したばかりのものを避けたり設定できる。気になるパッケージにAIセキュリティ分析をかける自前のラベラーを動かすこともできるし、特定のコミュニティが独自のlintルールを作って、それに基づいてラベルを貼ることも可能だね（npmエコシステムのe18eみたいに）。完璧じゃないけど、オーナーが金を払うって決めた機能しか付かない中央集権的なパッケージマネージャーよりはずっといいよ。

これ、Mythosに対する大げさな反応の何が面白いかってのを完璧に表してるね。確かに、最先端の脆弱性発見が自動化されるのは状況を変えるだろうけど、インフォセック（情報セキュリティ）に携わってるなら、夜も眠れないほど心配すべきことのトップってわけじゃない。今のテックスタックや企業ガバナンスの構造は、別の時代のものだ。状況を劇的に悪化させた特定の要因を挙げるとすれば、それはAIじゃなくて暗号資産（仮想通貨）だよ。ハッキングという「内職」を、北朝鮮のようなならずもの国家にとっても魅力的な数十億ドル規模の事業に変えてしまった。それだけのリターンがあるなら、ソフトウェアの依存関係を買い取ったり、従業員の誰かに「ミス」の見返りとして退職金をオファーしたりすることなんて簡単だ。バグの少ないソフトウェアを書く方法は分かっている（あえてやらないことも多いけど）。でも、この現実の中で大企業の安全を守るための良い計画なんて、まだ存在しない。自律型LLMエージェントはランサムウェア集団なんかに使われるだろうけど、そのためにFreeBSDのエクスプロイトを書く能力なんて必要ないしね。

「IT」をアウトソーシングしたときに、自分たちがどれだけのものを手放したのか、企業は理解してなかったんだろうな。

WordPressプラグインのサプライチェーン攻撃の標的は、昔からずっと危ういよね。個人の開発者が作った単一目的の小さなプラグインをたくさんインストールするのを推奨するようなエコシステムだから。しかも開発者の多くはセキュリティ専門の組織じゃない。インストール数が多い既存のプラグインを買い取るのは、元々の開発者が長い時間をかけて築いたユーザーの信頼をそのまま引き継げるから、賢いやり方だよ。もっと深い構造的な問題は、プラグインの更新通知が「暗黙の信頼シグナル」として機能しちゃってること。ユーザーは「更新が利用可能です」と出れば、作者が同一人物かどうか疑わずにクリックしちゃう。npmが取り組んでるようなパッケージ署名や移譲の透明性システムがあれば助かるんだろうけど、WordPressのエコシステムは伝統的にセキュリティ基盤の整備が遅いからね。

WordPressはプラグインのおかげで素晴らしかった。でも、今のプラグインとセキュリティモデルのせいで、WordPressは危険なエコシステムになってしまった。俺はHugoに移ったし、他の人にも勧めてるよ。https://ashishb.net/tech/wordpress-to-hugo/

一番怖いのはバックドアそのものじゃなくて、買収がどれだけ普通に見えたかってことだよね。信頼されてるプラグインを買い取ってアップデートを出すのは、正当なメンテナンスとぶっちゃけ区別がつかない。ユーザーがそれを疑うための明確なシグナルがないんだ。

ちょっと聞いて。市場競争を著しく低下させる合併や買収（M&A）は、政府が阻止したり、特定の法域では承認が必要だったりするよね。https://en.wikipedia.org/wiki/Mergers_and_acquisitions 。それなら、セキュリティに大きな影響を与える合併や買収も、マーケットプレイス（業界のガバナンス）の承認が必要だったり、さらには政府への通知や承認が必要だったりしてもいいんじゃないかな？

ここでの主な問題は、ソフトウェアアップデートの「あり方（思想）」だと思う。アップデートにはトレードオフがある。一方で修正が必要なセキュリティ脆弱性があるかもしれないし、開発者は古いバージョンのバグ報告を受けたくなかったり、サーバーを維持したくなかったりする。もう一方で、開発者がユーザーの望まない決定をしたり、一時的に（サプライチェーン攻撃みたいに）、あるいは永続的に（WordPress拡張機能の管理権を売却したりして）悪に転じたりする可能性もある。個人開発者の小さなWordPress拡張機能の場合、そのトレードオフを考えると、基本的に自動更新は許可すべきじゃないと思う。残念ながらwordpress.orgのマーケットプレイスはそのようには機能してないし、さらに悪い。長く続いてる有名な拡張機能以外は、基本的にそこから何もインストールすべきじゃないと思うし、もしWordPress拡張機能が欲しいなら、ソースコードをダウンロードして手動でインストールすべきだよ。（これはChrome拡張機能について書いたコメントなんだけど、ChromeをWordPressに置き換えて、Googleに関する一文を削除してみたら、それでも全部当てはまってたんだ。https://news.ycombinator.com/item?id=47721946#47724474 ）

面白い点として、それらのプラグインはFlippaで買収されたんだよね。FlippaはWordPressプラグイン限定じゃなくて、ソフトウェアビジネス全般を売買する一般的なマーケットプレイスなんだ。俺が心配なのは、善意で買収されたはずのインディーアプリや拡張機能、プラグインのロングテールが「兵器化」されること。こうしたアプリは、真面目にビジネスを運営したい人よりも、攻撃者にとっての価値の方が高いんじゃないかな。