2026年3月下旬、セキュリティ関連のニュースサイトで一斉に取り上げられたSmart Slider 3の危険な不具合。WordPressで写真のスライドショーを表示するために使われている人気プラグインが狙われています。WPレスキュー(株式会社ネクスト・アクション)は2,000サイト以上の復旧実績から、今すぐの対応をおすすめします。
Smart Slider 3 に見つかった危険な不具合(CVE-2026-3098)とは?
Smart Slider 3のバージョン3.5.1.33以前に、サーバー内のファイルを勝手に読み取られてしまう不具合(CVE-2026-3098、危険度:中)が見つかりました。
たとえば、サイトに「購読者」として登録しただけの人でも、本来見えてはいけないデータベースのパスワードが書かれた設定ファイル(wp-config.php)をダウンロードできてしまう状態でした。原因は、スライダーの書き出し機能に「誰がアクセスしているか」を確認する仕組みがなかったためです。
セキュリティ企業Wordfenceが2026年2月23日にこの問題を受け付け、開発元がバージョン3.5.1.34で修正済みです。ただし、まだ更新していないサイトは攻撃される恐れがあります。
ポイントまとめ
- 危険なバージョン:3.5.1.33 以前
- 安全なバージョン:3.5.1.34以上(2026年3月24日リリース)
- 発見者への報奨金:約33万円
影響は80万サイト以上!なぜ深刻なのか
Smart Slider 3は世界中で80万サイト以上に使われている人気プラグインです。マウス操作だけでスライドショーが作れるため、中小企業のホームページでもよく使われています。
今回怖いのは、「購読者」という一番低い権限でも悪用できること。たとえばコメント投稿のためにユーザー登録しただけの人が、サイトの最も重要な情報にアクセスできてしまいます。
こうやって乗っ取られる(攻撃の流れ)
- 設定ファイルを盗み見る → データベースのパスワードを入手
- データベースを直接操作 → 管理者アカウントを勝手に作成
- 管理者としてログイン → ウイルスやスパムを埋め込む
WPレスキューでは似た手口の被害で、データベースを丸ごと消去して作り直すしかなかったケースが多数あります。
なぜこの不具合が起きたのか(原因)
スライダーの「書き出し」機能に、「管理者かどうか」を確認する処理が入っていなかったのが原因です。本来は管理者だけが使える機能なのに、誰でもアクセスできる状態でした。
修正版では「管理者だけ実行可能」というチェックと、不正なリクエストを防ぐ仕組みが追加されました。
今すぐやるべきこと:プラグインの更新手順
被害に遭う前に更新するのが一番の対策です。WordPressの管理画面から簡単にできます。
- WordPress管理画面にログイン
- 左メニュー「プラグイン」→「インストール済みプラグイン」
- Smart Slider 3の「更新」ボタンをクリック
- バージョンが3.5.1.34以上になっていればOK
今後のために自動更新をONにしておくのもおすすめです。不具合の公開直後(3/27〜)から攻撃の兆候が報告されているため、できるだけ早く対応してください。
すでに被害に遭ってしまったら?復旧チェックリスト
WPレスキューが2,000件超の復旧経験からまとめた、中小企業向けの対応手順です。
- Smart Slider 3を無効化・削除:管理画面から無効化するか、FTPでsmart-slider-3フォルダを削除
- ログを確認:サーバーのアクセスログで、いつ・どこから不審なアクセスがあったか調べる
- パスワードをすべて変更:WordPress管理者、データベース、FTP、サーバーのパスワードをすべて変える
- ウイルスチェック:WordfenceやSucuriなどのセキュリティツールでサイト内をスキャン
- 不審なデータを削除:見覚えのないユーザーや記事がないか確認。必要ならバックアップから復元
- セキュリティを強化:2段階認証の導入、不要なファイルの実行を制限する設定を追加
これで約90%のケースは復旧できます。ただし残りの10%が一番怖い部分です。目に見えないバックドア(裏口)が仕込まれていたり、すでに情報が外部に漏れている可能性は、専門ツールで調査しないと分かりません。「見た目は直ったのに、数週間後にまた改ざんされた」というケースも珍しくありません。
状況が複雑な場合や少しでも不安がある場合は、無理せず専門家に相談してください。Wordfenceも同様の対応を推奨しています。
WPレスキューの復旧実績
過去にも似たスライダー系プラグインの不具合(LayerSlider事件など)で200サイトを復旧した実績があります。ある中小企業様では、データベースを乗っ取られた状態から48時間で完全復旧。サイトが見られない時間を最小限に抑えました。
IPA(情報処理推進機構)の「安全なウェブサイトの作り方」に沿った対応を行っています。
まとめ:まずはプラグインの更新を!
やることはシンプルです。Smart Slider 3を最新版に更新する。これだけでリスクは大幅に減ります。上のチェックリストも確認しておくと安心です。ただし「更新したから安全」とは限りません。更新前にすでに侵入されていた場合、更新だけでは被害は消えないのでご注意ください。
セキュリティメディアの報道や、JVNなどの国内セキュリティ情報サイトも定期的にチェックしてみてください。
「自分のサイトは大丈夫?」と不安な方は、お気軽にご相談ください。WPレスキューが迅速にサポートします。
