Wikipediaの管理者アカウントが侵害を受けてしまい読み取り専用モードに一時突入
by Harleen Quinzellová
オンライン百科事典のWikipediaを含むウィキメディア・プロジェクト全般において、深刻なセキュリティインシデントが2026年3月5日に発生しました。この問題により、ウィキメディア財団の管理者アカウントが侵害され、複数の言語版でページの大量削除や荒らしが相次いだため、一時的にサイト全体が読み取り専用モードとなり、JavaScript機能が停止される事態に発展しました。
https://en.wikipedia.org/wiki/Wikipedia:Village_pump_(technical)#Meta-Wiki_compromised
[MEGATHREAD] Wikimedia wikis locked / Accounts compromised : wikipedia
https://old.reddit.com/r/wikipedia/comments/1rllcdg/megathread_wikimedia_wikis_locked_accounts/
Mass-compromising of admin accounts on meta - Wikipediocracy
https://wikipediocracy.com/forum/viewtopic.php?f=8&t=14555
インシデントの直接の原因は、ウィキメディア財団のスタッフでありセキュリティエンジニアを務めるスコット・バセット氏が、自身のグローバルアカウントを使用して実施した不適切なテストにあります。バセット氏は、ユーザースクリプトのグローバルAPI制限を検証するために多数の外部スクリプトを読み込んでいましたが、その過程で悪意のあるコードを誤って自身のグローバル設定ファイルにインポートしてしまいました。
この悪意のあるコードは、2023年にWikirealityやCyclopediaといったロシアの代替ウィキプロジェクトを攻撃する目的で作成された「ウィキワーム」と呼ばれるスクリプトでした。ソーシャルニュースサイトのHacker Newsに投稿されたコメントによれば、このスクリプトはグローバルな永続性を確保するためにMediaWiki:Common.jsページに自身を注入し、さらにバックアップとして利用者ごとのUser:Common.jsページにも同様の注入を行う仕組みを備えていました。また、感染が発覚するのを防ぐために、jQueryを使用して感染の兆候を示すUI要素を隠蔽する工作も行われていたとのこと。
さらに権限を持つ管理者のアカウントが感染した場合には、より強力な削除機能が作動する設計になっており、Special:Nukeページを悪用してグローバル名前空間から3件の記事を一括削除する動作を3回繰り返したり、Special:Randomに削除アクションを組み合わせてさらに20件の記事をランダムに削除したりする挙動が見られたそうです。このSpecial:Nukeの動作は、検索フィールドにあるリストをそのまま承認して削除するという、非常に特殊な方法で実行されていました。
問題のスクリプトは2024年からロシア語版Wikipediaの利用者ページ内に存在していましたが、長期間にわたり休眠状態となっていたとのこと。しかし、高い権限を持つ財団スタッフのアカウントがこのコードを実行してしまったことで、Meta-Wikiを起点とした広範なシステムへの拡散が現実のものとなりました。
感染したアカウントは「Закрываем проект」(プロジェクトを閉鎖する)という編集要約を残しながら、無差別なページの削除や白紙化を自動的に実行していきました。特に、一度Meta-Wikiを閲覧した他の管理者のアカウントへも次々と感染が広がり、被害が連鎖的に拡大した模様。
事態を重く見たウィキメディアのシステム管理者(SRE)チームは、さらなる被害と感染の拡大を阻止するため、すべてのウィキプロジェクトを即座に読み取り専用モードへと切り替えました。あわせて、システム全体でユーザーによるカスタムJavaScriptの読み込みを強制的に無効化し、侵害されたコードの除去とシステムの安全性確認を並行して進める緊急措置を講じました。
インシデント発生から約2時間後の2026年3月5日17時9分(UTC)に、システムの安全性が確認されたとして読み書き可能な通常モードへと復旧しました。不正に行われた削除や編集は速やかに復元され、現在はユーザーの設定によるスクリプト実行も再開されています。ウィキメディア財団は、今回の件で利用者の個人情報やパスワードが外部へ流出した事実は確認されておらず、恒久的な被害は回避されたと報告しています。
