2026年ウィキメディアユーザースクリプトインシデント
(March 2026 User Script Incident から転送)
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2026/04/01 03:22 UTC 版)
| 2026年ウィキメディアユーザースクリプトインシデント | |
|---|---|
 |
|
| 正式名称 | March 2026 User Script Incident |
| 標的 | ウィキメディア財団が運営する全プロジェクト(被害はメタウィキのみ) |
| 日付 | 2026年3月5日 (UTC) 15:03 – 19:21 |
| 概要 | DOMベースXSS、不適切なスクリプトの一括インポート |
| 武器 | ワームによる権限乗っ取り、大量削除荒らし |
| 影響 | 全サイトの一時的な読み取り専用モード化、カスタムJSの強制無効化 |
2026年ウィキメディアユーザースクリプトインシデント(英:March 2026 User Script Incident)は、協定世界時2026年3月5日に、ウィキメディア財団が運営するウィキペディアを含む全ウィキメディア・プロジェクトにおいて発生した大規模なセキュリティインシデントである[1][2]。
財団のエンジニアがテスト中に誤って悪意のあるJavaScript(ワーム)を読み込んだことを発端とし、多数の高権限アカウントが連鎖的に乗っ取られた[1][2]。被害の拡大を防ぐため、サイト全体が一時的に読み取り専用モードに移行し、全ユーザーのカスタムJavaScript機能が強制停止される事態となった[1][2]。
背景
本インシデントの根本的な引き金となったのは、ウィキメディア財団の「製品の安全性と整合性(Product Safety and Integrity)」チームによるセキュリティテスト中の操作ミスである[1][2]。
S氏はユーザースクリプトのグローバルAPI制限を検証するため、外部の様々なユーザースクリプトを自身のメタウィキ上のアカウントへインポートしたが[1]、その中に悪意のある自己増殖型コードが含まれており、高い権限を持つ彼のアカウントの裏側でそれがアクティブとなった[1][2]。
タイムライン
時間はすべて協定世界時(UTC)。
- 2026年3月4日
- 22:32 - S氏が検証のため、メタウィキ上で多数のスクリプトを一括インポートを開始[3]。
- 2026年3月5日
- 15:03 - ウィキワームが混入[4]。
- 15:09 - 「MediaWiki:Common.js」への書き込み[5]。削除開始[6]。
- 15:12 - 他利用者(X氏)からの削除開始[7]。
- 15:14 - E氏により復元作業開始[8]。
- 15:29 - 異常を検知したWMFインフラチームエンジニアのM氏が、ユーザースクリプトを一時的に全世界で強制無効化するコマンド(
scap sync-world: Backport for Disable custom JS for a moment/ Gerrit:1248509)の展開を開始[9]。 - 15:31 - 同展開が完了し、全プロジェクトでカスタムJavaScript機能が遮断され、ワームの自己増殖が実質的に停止[9]。
- 15:32 - エンジニアT氏がデータベース設定ツールから
dbctl commit (dc=all): 'set global ro'を実行[9]。これにより、全ウィキメディア・プロジェクトのデータベースが正式に「読み取り専用モード(Read-only mode)」に強制ロックダウンされ、一切の編集が不可能となる[9]。 - 16:03 - エンジニアO氏が特定のデータベースセクションに対して
dbctl commit (dc=all): 'read only s6'を実行し、保護を強化[9]。 - 17:05 - マルウェアの除去と安全の確認が取れたため、エンジニアT氏が
dbctl commit (dc=all): 'enable writes'を実行[9]。約1時間半ぶりに読み取り専用モードが解除され、サイトの書き込み機能が復旧[9]。 - 17:21 - M氏が寄付用ウィキ(donatewiki)などで段階的にサイトJSを再有効化する展開(Gerrit:1248536)を開始[9]。
- 19:15 - 19:21 - S氏自身により、サイトJSの全体的な再有効化コマンド(
scap sync-world: Backport for Re-enable Site JS/ Gerrit:1248571)が展開・完了し、事態は概ね収束する[9]。
- 2026年3月6日
攻撃手法
原因となった悪意のあるJavaScriptコード(通称:ウィキワーム)は、元々は2023年に「Wikireality(Викиреальность)」や「Cyclopedia(Циклопедия)」といったロシア語圏の代替ウィキプロジェクトを攻撃する目的で作られたスクリプトの流用であった[1]。
このワームは、MediaWikiの標準的なAPIとDOMベースXSSの脆弱性を組み合わせた巧妙な設計がなされていた[1][2]。
- 主な機能
- jQueryの読み込み
- MediaWiki:Common.jsを取得し、既感染判定。されていない場合は感染を試行。
- 自身のCommon.jsへも感染の試行。
- 標準名前空間を対象に一括削除「Special:Nuke」を実行(3回)。
- Special:Randomにて取得したページへ巨大画像・非表示スクリプトの埋め込み等を追加し編集(20回)。
- Special:Randomにて取得したページを削除(20回)。
影響
各プロジェクトへの影響
メタウィキを中心に、多数のページが自動化スクリプトによって改変・削除された[1][2]。また、ワームの増殖を食い止めるために実施された「読み取り専用モード」により、約1時間にわたり世界中の全言語版ウィキペディアで新規記事の作成や既存記事の編集が一切不可能な状態となった[1][2]。最終的にはおよそ4000ページの変更、85人の利用者Common.jsが改変され、削除されたページも多数に及んだ[2]。
個人情報・データへの影響
WMFの事後調査によれば、本インシデントはユーザー権限の不正操作に留まっており、データベースへの直接の侵入や、パスワードの平文での流出、利用者個人の機密情報の漏洩は確認されていない[1][2]。また、削除されたページはMediaWikiのシステム仕様上すべて復元可能であったため、恒久的なデータ破壊は免れた[11]。
ユーザースクリプト停止による二次的影響
ワーム鎮圧の代償として実施された「カスタムJSの強制停止」により、ウィキペディアを支えていたあらゆるユーザースクリプトが全言語版で一斉に動作しなくなった[1][2]。これにより、荒らし対策やカテゴリ編集などの日常的な作業を手動で行わざるを得なくなり、編集者コミュニティに深刻な混乱をもたらした[12]。
対応と公式声明
事態が沈静化した後、財団の製品の安全性と整合性チームは以下の声明を発表した[13]。
皆様へ。既にお気づきの方もいらっしゃるかもしれませんが、私たち(WMF)がユーザースクリプトの挙動に関するセキュリティレビューを実施していたところ、悪意のあるスクリプトを意図せず作動させてしまいました。これがメタのログに記録されていたページ削除の原因であり、現在復旧作業を進めています。本日、第三者による意図的な攻撃があったとは考えておらず、恒久的な被害や個人情報の漏洩が発生した事実も確認されていません。
このセキュリティレビューは、まさに今回のような攻撃のリスクを軽減するための取り組みの一環として実施していたものです。その作業中に私たちが自らスクリプトを作動させてしまったという皮肉な結果については私たちも重々承知しており、ご迷惑をおかけしたことを深くお詫び申し上げます。しかし、このシステムに潜むリスクは現実のものです。今後このような事態が起こりにくくなるよう、コミュニティの皆様と緊密に連携しながら、ユーザースクリプトのセキュリティ保護に引き続き取り組んでまいります。
Hey all - as some of you have seen, we (WMF) were doing a security review of the behavior of user scripts, and unintentionally activated one that turned out to be malicious. That is what caused the page deletions you saw on the Meta log, which are getting cleaned up. We have no reason to believe any third-party entity was actively attacking us today, or that any permanent damage occurred or any breach of personal information.
We were doing this security review as part of an effort to limit the risks of exactly this kind of attack. The irony of us triggering this script while doing so is not lost on us, and we are sorry about the disruption. But the risks in this system are real. We are going to continue working on security protections for user scripts – in close consultation with the community, of course – to make this sort of thing much harder to happen in the future.—User:EMill-WMF、Wikipedia Discord #general
財団はメタウィキ上に「March 2026 User Script Incident」という公式の事後報告・議論用ページを開設し、これが高度な標的型攻撃ではなく、内部のテスト環境と本番環境の切り分けが不十分であったことに起因する「事故」であったことを正式に認めた[11]。
本日(2026年3月5日)の早い時間、ウィキメディア財団のスタッフは、ウィキメディア・プロジェクト全体にわたるユーザー作成コードのセキュリティ・レビューを実施していました。そのレビューの過程で、休眠状態にあったコードを誤って有効化してしまいましたが、当該コードは即座に悪意のあるものであると特定されました。そのコードは23分間にわたり有効な状態となっていました。これによりメタウィキ (Meta-Wiki) 上で複数のページが削除される事態が発生しましたが、それらはすでに復旧しています。調査中にスクリプトがさらに拡散するのを防ぐため、ウィキメディア・プロジェクトは約2時間にわたって読み取り専用に設定され、すべてのユーザーJavaScriptはその日の大部分において一時的に無効化されました。
影響を受けたページはすでに復旧しており、今回のコードによる永続的な被害は発生していないと認識しています。ウィキペディアが積極的な攻撃の標的になっていた、あるいはこのインシデントの一環として個人情報が漏洩したと考えるべき根拠はありません。
現時点において、悪意のあるコードによる影響への対処は完了し、ユーザーJavaScriptは再び有効化されています。今後、同種のインシデントの発生をさらに困難にするべく、私たちはコミュニティと協議しながら、ユーザーJavaScriptに対するさらなるセキュリティ対策の構築を積極的に進めています。
Earlier today (March 5, 2026), Wikimedia Foundation staff were conducting a security review of user-authored code across Wikimedia projects. During that review, we inadvertently activated dormant code that was then quickly identified to be malicious.
The code was active for a 23-minute period. This caused page deletions on Meta-Wiki that have since been restored. To prevent the script from spreading further while we investigated, Wikimedia projects were set to read-only for about 2 hours, and all user JavaScript was temporarily disabled for most of the day.
Affected pages have since been restored, and we believe no permanent damage has occurred as a result of this code. We have no reason to believe that Wikipedia was actively under attack or that personal information was breached as part of this incident.
At this point, the impact of the malicious code has been cleaned up, and user JavaScript has been re-enabled. We are actively developing further security mitigations for user JavaScript in consultation with the community, to make incidents of this kind much more difficult to happen in the future.
コミュニティ・各方面の反応
初期の大混乱と陰謀論
突然のサイトロックダウンと強制的なログアウト、そして「Закрываем проект(プロジェクトを閉鎖する)」という謎のロシア語による荒らし行為を受け、英語版ウィキペディアの技術系井戸端(en:Wikipedia:Village pump (technical))やReddit(r/wikipedia)などのコミュニティは大混乱に陥った[12]。事件発生直後は、ロシア・ウクライナ情勢などに関連した「国家ぐるみのサイバー攻撃・情報統制工作ではないか」という憶測や陰謀論が飛び交った[13]。
真相判明後
その後、原因が財団のエンジニア自身による「ランダムなスクリプトの大量インポート」という初歩的な不注意であることが判明すると、コミュニティの反応は呆れとブラックジョークに変わった[12]。 英語版のジョークページ「Village stocks(村のさらし台)」においては、S氏を「さらし台」にかけ、「Закрываем проект(プロジェクト閉鎖)賞」を授与しようという書き込みが行われた[14]。
脚注
- ^ a b c d e f g h i j k l “Wikipediaの管理者アカウントが侵害を受けてしまい読み取り専用モードに一時突入”. GIGAZINE (2026年3月6日). 2026年3月12日閲覧。
- ^ a b c d e f g h i j k “Wikipedia hit by self-propagating JavaScript worm that vandalized pages”. BLEEPINGCOMPUTER (2026年3月5日). 2026年4月1日閲覧。
- ^ “「User:S氏/global.js」の版間の差分”. Meta-Wiki (2019年1月24日). 2026年4月1日閲覧。
- ^ “「User:S氏/global.js」の版間の差分”. Meta-Wiki (2026年3月4日). 2026年4月1日閲覧。
- ^ “「MediaWiki:Common.js」の版間の差分”. Meta-Wiki (2026年3月5日). 2026年4月1日閲覧。
- ^ “主な公開記録”. Meta-Wiki (2026年3月5日). 2026年4月1日閲覧。
- ^ “主な公開記録”. Meta-Wiki (2026年3月5日). 2026年4月1日閲覧。
- ^ “主な公開記録”. Meta-Wiki (2026年3月5日). 2026年4月1日閲覧。
- ^ a b c d e f g h i “Server Admin Log”. Wikitech (2026年3月6日). 2026年3月31日閲覧。
- ^ “Wikimedia Foundation/Product and Technology/Product Safety and Integrity/March 2026 User Script Incident”. Meta-Wiki (2026年3月6日). 2026年4月1日閲覧。
- ^ a b “Wikimedia Foundation/Product and Technology/Product Safety and Integrity/March 2026 User Script Incident”. Meta-Wiki. 2026年3月12日閲覧。
- ^ a b c “[MEGATHREAD] Wikimedia wikis locked / Accounts compromised ”. reddit. 2026年3月12日閲覧。
- ^ a b “Wikipedia:Wikipedia Signpost/2026-03-10/News and notes”. Wikipedia (2026年3月10日). 2026年3月12日閲覧。
- ^ “Wikipedia:Village stocks: Revision history”. Wikipedia (2026年3月7日). 2026年4月1日閲覧。
関連項目
- 2026年ウィキメディアユーザースクリプトインシデントのページへのリンク
