WooCommerceストアのオーナーを狙ったフィッシング詐欺が確認されています。
これらのメールはWooCommerce公式のメールアカウントを偽り、実際には存在しない重大なセキュリティ脆弱性に対する案内を行って詐欺行為を働くような手口となっているようです。
このフィッシングメールは2025年4月22日にWooCommerce公式より注意喚起のブログ投稿が公開されています。
この案内自体は英語圏を中心に確認された情報をもとに公開されたものとなっていますが、2025年5月以降、日本国内のWooCommerceサイトの運営元にもこのフィッシング詐欺メールが送信されていることが確認されています。
フィッシング詐欺メールの手口について
今回確認されているフィッシング詐欺メールの内容には以下のような特徴があるとされています。
※ 下記はWooCommerce公式の情報をもとに一部当方で実際に受信したフィッシング詐欺メールの特長を追記しています。
- help@security-woocommerce.com、incident@notify-woocommerce.com、help@support-woocommerce.com、noreply@updates-woocommerce.comなどの送信者から送信されている。
- 正規の WooCommerce ドメインに類似したドメインへのリンクが記載されていることがあります。このアドレスは Punycode という多言語表記ドメインを利用する技術を応用し、woocommerċe.comのドメインと混同するように細工がされています。(例:https://xn--woocommere-7ib.com)
- 上記のリンク以外にbit.lyなどの短縮URLを使いリンク先を偽装するケースが確認されています。このbit.lyのURLを展開すると、前述のhttps://xn--woocommere-7ib.comなどの不正なドメインへ転送されます。
- 2025年4月14日頃に「重大なセキュリティ脆弱性」が発見されたと主張する
- 自身が運営している店舗(WordPressサイト)のURLを記載し、それが直接影響を受けていると主張する
- ユーザーに「セキュリティパッチ」をダウンロードしてインストールするよう求める。
(このセキュリティパッチが実際にはマルウェアとなっています)
フィッシング詐欺メールを受け取った場合の対処
これらのメールを受け取った場合の対処について、WooCommerce公式では以下の通り案内されています。
- メールに記載されたリンクをクリックしたり、ファイルをダウンロードしたりしない
- これらのメールから入手したプラグインを絶対にインストールしない
- ドメインをフィッシングとしてメールプロバイダに報告する
また、WooCommerceストアを安全に保つための最善の方法として、
- 最新のプラグインは必ずWordPressのダッシュボードまたはWooCommerce.comから直接アップデートをインストールすること
- セキュリティパッチの自動更新を有効にすること
- 強力で固有のパスワードと二要素認証を使用すること
- 信頼できるソース(WordPress.org または WooCommerce.comからダウンロードしたもの)からのプラグインのみをインストールしてください。
が案内されています。
フィッシング詐欺メール全文
フィッシング詐欺メールの全文は以下のようなものなっています。
これらの内容については同様の手口が公開されるにつれて継続的に変更されることが予想されるため、必ずしも内容が完全に一致しない可能性があることにご注意ください。
また、詐欺メールの本文は英語で記述されていますが、gmailなどでは受信メールの表示設定などによって自動的に日本語に翻訳表示される場合があるため、この日本語翻訳表記についても併記します。
送信者: Woo < noreply@updates-woocommerce.com >
件名: Immediate Patch Required: Critical WooCommerce Vulnerability Detected on 【ドメイン名】
緊急パッチが必要: 【ドメイン名】で重大な WooCommerce の脆弱性が検出されました
※ 注意!このメールはフィッシング詐欺メールのコピーです ※
※ これと似た内容のメールを受信した場合、絶対にリンクをクリックしたりせずにメールを削除してください ※
Dear WooCommerce User
We are informing you regarding a critical security vulnerability identified in the WooCommerce platform on April 28, 2025.
Warning: Our latest security scan, carried out on mm d, y, has confirmed that this critical vulnerability directly impacts your website:
【ドメイン名】
Vulnerability details
This vulnerability involves Unauthenticated Administrative Access, which can potentially allow attackers to gain unauthorized access to your website’s administrative functions. If taken advantage of, this could compromise sensitive user data, such as customer information, order details, and credit card data, potentially leading to unauthorized transactions, significant data exposure, and losing total control of your website.
We strongly advise you to take immediate steps to secure your store and protect your data.
Steps you need to take
Click the button below to download the security patch from our official website:
DOWNLOAD PATCH
Once you have downloaded the patch, please follow these steps:
- Log into your WordPress admin dashboard for 【ドメイン名】
- Navigate to “Plugins” > “Add New” > “Upload Plugin.”
- Choose the .zip file you downloaded and click “Install Now.”
- Once installed, activate the plugin to make sure your website is protected.
Thank you for your swift action
We appreciate your commitment to this significant security concern and your actions to keep your WooCommerce website safe. Implementing these precautions will contribute to protecting your store and preserving the security of your data and customers.
Regards,
The WooCommerce Security Team
This email was sent to 【メールアドレス】. You’re receiving it because
you subscribed while signing up, completing a form, or buying on
WooCommerce.com.
No longer prefer to receive such notifications? Edit your preferences or
unsubscribe. You might keep receiving transactional and/or account-related notifications
from WooCommerce.com.
※ 注意!このメールはフィッシング詐欺メールのコピーです ※
※ これと似た内容のメールを受信した場合、絶対にリンクをクリックしたりせずにメールを削除してください ※
WooCommerceユーザー様
2025 年 4 月 28 日に WooCommerce プラットフォームで確認された重大なセキュリティ脆弱性についてお知らせします。
警告: y 年 n 月 m 日に実行された最新のセキュリティ スキャンにより、この重大な脆弱性がお客様の Web サイトに直接影響することが確認されました。
【ドメイン名】
脆弱性の詳細
この脆弱性は、認証されていない管理アクセスに関係しており、攻撃者がウェブサイトの管理機能に不正アクセスする可能性があります。これが悪用されると、顧客情報、注文内容、クレジットカード情報といったユーザーの機密データが漏洩し、不正な取引、重大なデータ漏洩、ウェブサイトの完全な制御喪失につながる可能性があります。
ストアのセキュリティを確保し、データを保護するための措置を直ちに講じることを強くお勧めします。
必要な手順
以下のボタンをクリックして、当社の公式ウェブサイトからセキュリティ パッチをダウンロードしてください。
パッチをダウンロード
パッチをダウンロードしたら、次の手順に従ってください。
- 【ドメイン名】のWordPress管理ダッシュボードにログインします。
- 「プラグイン」>「新規追加」> 「プラグインのアップロード」に移動します。
- ダウンロードした.zip ファイルを選択し、 「今すぐインストール」をクリックします。
- インストールしたら、プラグインを有効にして、 Web サイトが保護されていることを確認します。
迅速なご対応ありがとうございます
この重大なセキュリティ上の懸念事項へのご尽力と、WooCommerce ウェブサイトの安全確保に向けたご尽力に感謝申し上げます。これらの対策を実施いただくことで、ストアの保護、そしてデータと顧客のセキュリティ確保に貢献いたします。
よろしくお願いいたします
WooCommerce セキュリティチーム
このメールは【メールアドレス】に送信されました。受信された理由は
サインアップ時、フォームの記入時、または購入時に登録した
WooCommerce.com です。
このような通知を受け取りたくない場合は、設定を編集するか、
購読を解除してください。取引やアカウント関連の通知が引き続き届く可能性があります。
WooCommerce.com から。
© 2025 WooCommerce, Inc.
※ 注意!このメールはフィッシング詐欺メールのコピーです ※
※ これと似た内容のメールを受信した場合、絶対にリンクをクリックしたりせずにメールを削除してください ※
