eval()を使うことがなぜ危険なのですか？

eval()はPHPの組み込み関数で、文字列をPHPコードとして実行します。通常のコードはコンパイル・実行前にパーサーで解析されますが、eval()は実行時に動的にコードを生成・実行できるため、もし外部から制御可能な入力がeval()に渡されると、攻撃者が任意のPHPコードをサーバーで実行できます。セキュリティの観点からeval()は「動的コード実行」という強力な機能で、ユーザー入力をeval()に渡すことは原則として禁じ手です。今回のEverest Forms Pro CVE-2026-3300はまさにこのアンチパターンが原因で発生しました。

自分のWordPressサイトがEverest Forms Proを使っているか確認するには？

WordPress管理画面（/wp-admin）にログインし、左メニューの「プラグイン」→「インストール済みプラグイン」をクリックして「Everest Forms Pro」がリストにあるか確認してください。プラグイン名の下にバージョン番号が表示されます。バージョンが1.9.12以前の場合は今すぐ「更新」をクリックしてアップデートしてください。管理画面にアクセスできない場合は、サーバーの/wp-content/plugins/ディレクトリにeverest-forms-proフォルダが存在するか確認します。

すでにサイトが侵害された疑いがある場合、最初に何をすべきですか？

最初の確認ポイントは「不正な管理者アカウントが作成されているか」です。WordPress管理画面→「ユーザー」→「全ユーザー」で管理者ロールのユーザー一覧を確認し、「diksimarina」や見覚えのないユーザーが存在すれば即座に削除してください。次にすべての管理者のパスワードをリセットし、有効なセッションをすべて無効化します。サーバーのアクセスログも確認し、不審なIPからの大量リクエストがあれば、その時間帯以降のファイル変更を調査します。侵害が深刻な場合はバックアップからの復元を検討してください。

sanitize_text_field()ではなぜ防げないのですか？

sanitize_text_field()はWordPressの標準サニタイズ関数で、HTMLタグや一部の特殊文字（ , &等）を除去・エンコードします。しかしPHPのeval()コンテキストで危険なシングルクォート（'）やその他のPHP構文文字はサニタイズされません。eval()に渡すコンテキストでは、HTMLエスケープとは別にPHPコードとして解釈されない形でエスケープ（または別の処理で動的コード生成を回避）する必要があります。今回の教訓は「文脈（コンテキスト）に応じたサニタイズ」の重要性で、HTMLコンテキスト用の関数をPHPコード実行コンテキストで使っても防護にならないことを示しています。

WordPressプラグインの脆弱性はどのように見つかり、修正されますか？

WordPressプラグインの脆弱性は主にセキュリティ研究者・バグバウンティハンターが発見し、Wordfenceのプログラムや直接プラグイン開発者に報告されます。今回のCVE-2026-3300はWordfenceの開示プログラム経由で2月に報告され、3月18日にパッチがリリースされました。修正版がリリースされるとWordPressのプラグインアップデート通知が管理画面に表示されます。しかしすべてのサイト管理者が即座に更新するわけではないため、パッチ後も古いバージョンを使用するサイトを狙った攻撃が続きます。自動アップデートを有効化することがこのギャップを埋める最も確実な方法です。

WordPress Everest Forms Pro CVE-2026-3300 解説｜CVSS 9.8・eval()インジェクション・3万件超の攻撃

WordPressプラグインの脆弱性は毎週のように報告されるが、CVSS 9.8という最高クラスのスコアかつパッチリリース後も3万件以上の攻撃が継続しているケースは異例だ。CVE-2026-3300は、WordPressのフォームビルダープラグイン「Everest Forms Pro」のComplex Calculation機能に存在するPHPコードインジェクション脆弱性で、未認証の攻撃者がサーバー上で任意のPHPコードを実行できる。2026年2月に研究者がWordfenceに報告し、3月18日にパッチがリリースされた。しかしWordfenceの監視データによると4月13日から悪用が本格化し、5月16日には単日で17,900件を超える攻撃試行が確認されている。パッチを適用していないWordPressサイトは今すぐ確認が必要だ。

概要

CVE ID：CVE-2026-3300
影響製品：Everest Forms Pro for WordPress（wpeverest開発）
CVSS スコア：9.8（Critical）
脆弱性の種類：PHPコードインジェクション（CWE-94）/ Remote Code Execution（RCE）
攻撃条件：未認証（認証不要）
影響バージョン：Everest Forms Pro 1.9.12以前
修正バージョン：1.9.13（2026年3月18日リリース）
悪用開始日：2026年4月13日
確認された攻撃件数：29,300件超（Wordfence計測）
攻撃目的：不正な管理者アカウント（diksimarina）の作成 → サイト完全乗っ取り

何が起きたのか

脆弱性の発見と開示タイムライン

CVE-2026-3300は2026年2月、セキュリティ研究者がWordfenceの脆弱性開示プログラムを通じて報告した。Wordfenceはプラグイン開発元のwpeverestに連絡し、2026年3月18日に修正版1.9.13がリリースされた。

問題はここからだ。パッチリリースから約3週間後の4月13日、Wordfenceのファイアウォールが本脆弱性を狙う攻撃をブロックし始めた。その後も攻撃は継続・増加し、5月16日には単日で17,900件以上という突出したスパイク（急増）が記録された。この単日スパイクは同期間の総攻撃件数29,300件の約61%を占める。これは、攻撃者が大規模なスキャン・攻撃キャンペーンを一斉に展開したことを示唆している。

攻撃の主な送信元IP

Wordfenceが特定した主な攻撃元IPは202.56.2[.]126と209.146.60.26の2つだ。これらのIPは攻撃の大部分を送信したとされているが、実際の攻撃キャンペーンでは多数のIPを分散して使用することも多く、IPブロックだけでは完全な防御にならない。

技術的な解説

脆弱な機能：Complex Calculation Addon

Everest Forms ProはWordPressの高機能フォームビルダープラグインだ。今回問題となったComplex Calculation機能は、フォームフィールドの入力値を使った計算式（合計金額の自動算出など）をフォームに組み込むためのアドオンだ。

この機能の内部では、ユーザーが入力したフォームフィールドの値がprocess_filter()関数で処理され、最終的にPHPのeval()関数に渡されてリアルタイムに計算が実行される。

脆弱性の仕組み：eval()とシングルクォートの問題

脆弱性の核心はsanitize_text_field()による入力サニタイズが不十分だったことだ。

sanitize_text_field()はHTMLタグや一部の特殊文字を除去するWordPressの標準関数だが、シングルクォート（'）やPHPの構文に影響する文字はエスケープしない。

攻撃者は次のような値をフォームフィールドに入力する：

シングルクォートで意図された文字列を閉じる
任意のPHPコードを挿入する
//コメントで後続の残りコードを無効化する

この入力がeval()に渡されると、挿入されたPHPコードがWebサーバーの権限でそのまま実行される。

攻撃者の目的：管理者アカウント「diksimarina」の作成

Wordfenceが観測した攻撃の主な目的は、wp_insert_user()関数を使って「diksimarina」というユーザー名の管理者アカウントを作成することだった。

WordPressの管理者権限を持つアカウントが作成されると、攻撃者は：

サイトのコンテンツ全体を書き換え（SEOスパム・マルウェア配布ページへの改ざん）
任意のプラグイン・テーマのインストール（バックドアの永続化）
データベースへのアクセス（ユーザーメールアドレス・パスワードハッシュの窃取）
サーバーのファイルシステムへのフルアクセス

が可能になる。Webサイトの完全な乗っ取りだ。

パッチが出ても攻撃が続く理由

修正版1.9.13は2026年3月18日にリリースされたが、パッチリリースから3週間後に大規模攻撃が始まった。これは「パッチを適用していないサイトを大量スキャンして一斉攻撃する」という攻撃者の典型的な行動パターンだ。脆弱性の技術的詳細が公開・共有されると、ツールキット化されてスキャンボットが一斉展開される。WordPressの世界では「パッチが出たら即適用しないと、詳細公開後に大量攻撃が来る」というのが現実だ。

日本企業への影響

Everest Forms Proの利用実態

Everest Forms Proは問い合わせフォーム・予約フォーム・見積もりフォームなど幅広い用途で利用されるWordPressプラグインだ。Complex Calculation機能は「料金自動計算」「数量×単価の合計表示」といった用途で商用サイト・ECサイト・不動産サイト等に導入されている。

日本では中小企業のコーポレートサイトをWordPressで運営しているケースが非常に多く、プラグイン更新管理が手薄な環境もある。制作会社に管理を委託していても、プラグイン更新が即時に行われない場合がある。

攻撃者が狙う日本語サイト

自動スキャンツールは言語を問わずWordPressの脆弱なプラグインを検索する。日本語サイトだからといって攻撃を免れるわけではない。SEOスパム目的の攻撃者にとっては、日本語コンテンツのある権威あるドメインに悪意ある日本語スパムリンクを埋め込む標的として有用だ。

今すぐ確認すべきポイント

1. まず確認：プラグインのバージョンを確認する

WordPress管理画面（プラグイン一覧）でEverest Forms Proのバージョンを確認する
バージョンが1.9.12以前であれば今すぐ1.9.13以降にアップデートする
サイト管理を委託している場合は管理会社に即時確認・対応を依頼する

2. Complex Calculation機能を使用していない場合も対象

Everest Forms Proをインストールしているがこの機能を使っていない場合でも、プラグイン自体がインストールされていれば脆弱性は存在する
使用していない機能のために古いバージョンを放置することのリスクを認識してほしい

3. 侵害の痕跡を確認する

WordPress管理画面→ユーザー一覧で「diksimarina」または見覚えのない管理者アカウントが存在しないか確認する
最近の管理者ログインログ（ログインログを記録するプラグイン）を確認し、不審なIPからのログインがないか確認する
サーバーのアクセスログでPOST /wp-admin/admin-ajax.phpやPOST /?everest_forms_field等への大量リクエストがないか確認する
サイトのソースコードに不審なBase64エンコード文字列や外部スクリプトタグが追加されていないか確認する

4. 侵害された場合の対応

不審な管理者アカウントをすべて削除する
全管理者アカウントのパスワードを変更し、MFAを有効化する
サーバー上のWordPressファイルとデータベースを直近のクリーンなバックアップと比較し、改ざんを特定して復元する
改ざんが深刻な場合はホスティング会社に相談し、サーバーの隔離・クリーンインストールを検討する

5. WordPress全般の予防策

プラグイン・テーマ・WordPressコアの自動アップデートを有効化する
Wordfence等のWebアプリケーションファイアウォール（WAF）プラグインを導入する（無料版でも主要な攻撃をブロック）
使用していないプラグインは削除する（インストールされているだけで攻撃対象になる）
定期的なバックアップを自動化し、外部ストレージに保存する

参考情報

BleepingComputer: Critical Everest Forms Pro flaw exploited to take over WordPress sites（2026年6月）
The Hacker News: Hackers Exploit Critical Everest Forms Pro WordPress Plugin Flaw to Take Over Sites（2026年6月）
Infosecurity Magazine: Everest Forms Pro Vulnerability Allows Remote Code Execution（2026年6月）
SentinelOne Vulnerability Database: CVE-2026-3300
Wordfence: Critical Everest Forms Pro WordPress Plugin Flaw Under Active Exploitation