最近、WordPressのプラグインの中に、他人が作ったプラグインをそのままコピーして、別の名前で配布されている「偽物プラグイン」が紛れ込むケースが報告されています。
これはプラグイン開発者だけの問題ではなく、プラグインを使うすべてのブロガー、そして記事を読むすべての読者に関わるセキュリティ上の重要な問題です。
この記事では、なぜこうした偽物プラグインが生まれるのか、そして実際にどう見分ければいいのかを、できるだけわかりやすくまとめます。
何が起きているのか ― プラグインの偽物問題
具体的には、次のようなパターンが確認されています。
- 既存の人気プラグインのソースコードがほぼそのまま流用される
- ボタンの配色、関数の書き方、URL生成ロジックまで一致している
- 原作者の名前と著作権表示だけが削除されている
- 別の作者名で「新規プラグイン」としてWordPress.orgに登録される
WordPress.orgのプラグインディレクトリは公式のチェック体制を持っています。
しかし提出数が増加しており、すべての偽物を事前に発見することは難しいのが実情です。
実際、報告を受けて事後的に閉鎖されるケースも継続的に発生しています。
つまり、プラグインの偽物は、ある日突然あなたのサイトに紛れ込む可能性があるということです。
GPLは「自由」だが「無条件」ではない
WordPressのプラグインは原則としてGNU GPL(General Public License)というオープンソースライセンスで配布されています。
GPLは確かに「改変・再配布の自由」を認めています。
ただしGPLには明確な条件があります。
- 原著作者の著作権表示を残すこと
- 変更点を明記すること
- 同じGPLで再配布すること
これらの条件を守らない場合、GPLによる配布の許可が失われ、無許可の著作権侵害となります。
「GPLだから自由にコピーしていい」というのは、よくある誤解です。
フォークの自由は、原著作者を敬うことが大前提です。
WordPress.org公式ルールが定めていること
WordPress.org公式の「Detailed Plugin Guidelines」には、第17項として次のように明記されています。
Plugins must respect trademarks, copyrights, and project names. (プラグインは商標・著作権・プロジェクト名を尊重しなければならない)
さらにPlugin Developer FAQには、より直接的にこう書かれています。
We also don’t accept 100% copies of other people’s work. (他人の作品の100%コピーは受け付けない)
ガイドライン違反のプラグインは、レビューの上でディレクトリから閉鎖されます。
これは推測ではなく、公式に運用されているルールです。
報告窓口は plugins@wordpress.org で、公式ハンドブックでも明示されています。
日本の著作権法から見た「作者名の削除」
日本の著作権法には、財産権としての「著作権」とは別に、作者の人格を守る「著作者人格権」という権利があります。
その柱の一つが第19条「氏名表示権」です。
これは「自分の作った著作物に、自分の名前を表示する権利」のことです。
コードのヘッダーコメントに書かれた作者名を勝手に削除し、別人の名前に書き換える行為は、この氏名表示権の侵害にあたる可能性が高いです。
しかも著作者人格権は譲渡できない・放棄できない権利として、たとえGPLの下でも作者本人の手元に残り続けます(著作権法第59条)。
つまり「GPLだから何をしてもいい」という考え方は、日本国内で見ても二重に間違っています。
偽物プラグインを使うことで起きるセキュリティリスク
「自分はただ使うだけだから関係ない」と思う方もいるかもしれません。
しかし、偽物プラグインを使うことには、明確なセキュリティ上のリスクが伴います。
突然サイトが壊れる可能性
WordPress.orgがガイドライン違反で偽物プラグインを閉鎖すると、自動更新が止まります。
古いままのコードが残り、長期的にセキュリティの脆弱性につながります。
正規のサポートが受けられない
コピー作者はそもそも仕組みを理解していないことが多く、バグ報告や脆弱性報告をしても返答が得られません。
原作者のサポートも受けられない
オリジナル作者からすれば、コピー版のユーザーは対応対象外です。
コードの内容を事前に検証しにくい
出所がわからないコードが含まれている可能性を、事前に確かめる手段が限られます。
コードに問題があった場合に、原因の特定や修正対応が極めて難しくなります。
これらは「ただ使うだけのユーザー」にとっても無視できないリスクです。
プラグインを入れることは、自分のサイトに他人が書いたコードを実行権限ごと招き入れることだと意識する必要があります。
プラグインの見分け方 ― 専門知識なしでできる6つのチェック
ブログを読みに来てくださる方の中には、自分でもWordPressでサイトを運営している方や、これから始めようとしている方も多いと思います。
「プラグインなんて難しくて分からない」と感じる方もいるでしょう。
でも、難しい知識は要りません。
インストールする前に、ほんの数分のひと手間を加えるだけで、偽物プラグインによるトラブルの大半は避けられます。
以下、専門知識がなくてもできる6つのチェック項目です。
優先度の高い順に並べています。
① 作者の他のプラグインを確認する
プラグインの紹介ページには必ず「作者」の名前が書かれています。
その名前をクリックすると、その人が今までに作った他のプラグイン一覧が見られます。
- 何年も前から複数のプラグインを公開し、地道に更新を続けている人 → 信頼できる可能性が高い
- そのプラグイン一つしか作っていない、登録したばかりのアカウント → 少し慎重になったほうがよい
長年プラグインを作り続けている人は、コミュニティでの評判もかかっているので、いい加減なものは出しません。
これは料理人の経歴を見るのと同じ感覚です。
② 公開日と更新履歴を見る
プラグインのページには、「最初に公開された日」と「最後に更新された日」が必ず表示されます。
- 公開されてから数年経っていて、定期的に更新されている → 安心して使える
- 公開されたばかりなのに、最初から高機能で完成度が高い → 偽物・他のプラグインのコピーかもしれない
通常、プラグインは少しずつ機能を追加しながら育っていくものです。
バージョン1.0からいきなり完璧というのは、開店初日からフルコース30種類が完璧に提供される料理店のようなもので、不自然です。
③ インストール数とレビューを確認する
「Active installations(現在使われている数)」と、星の数によるレビューも、見分け方の重要な指標です。
- インストール数が多く、レビューも複数ついている → 多くの人に使われている実績がある
- インストール数がゼロに近く、レビューもない → まだ評価が定まっていない
新しいプラグインが必ず悪いわけではありません。
ただ、すでに実績のあるプラグインがある場合は、そちらを優先したほうが安全です。
④ 同じ機能の先行プラグインと比較する
これが偽物プラグインを見抜く上で最も重要なチェックです。
「ホテル予約のリンクを貼るプラグイン」
「ランキングを作るプラグイン」
など、同じ目的のプラグインは複数存在することがほとんどです。
WordPressのプラグイン検索で機能名を入れると、先に作られた有名なプラグインがすぐ見つかります。
両方のページを開いて、見比べてみてください。
- 新しいプラグインのボタンの色、デザイン、機能が、先に存在する有名プラグインとそっくり → 偽物の可能性が高い
- それぞれにオリジナルの特徴・違いがある → 健全に競争している正規プラグイン
これは服を買うときに「ノーブランド品が有名ブランドのデザインをそっくり真似していないか」を見るのと同じ感覚です。
「先にあったものに似すぎている」は、強い警告サインです。
⑤ 説明文・機能・デザインの独自性を確認する
正規のプラグインには、必ずそのプラグインならではの独自の特徴があります。
- 説明文に作者の思いや開発の経緯が書かれている
- スクリーンショットに作者独自のセンスが現れている
- 機能の一覧に「これがこのプラグインの売りだ」と分かる部分がある
逆に、偽物プラグインは中身をコピーしているだけなので、説明文が薄い・スクリーンショットが少ない・他と区別がつかないといった特徴が出やすいです。
⑥ 不安を感じたら使わない
最後に、一番大切なこと。
少しでも怪しいと感じたら、使わない選択をする。
これがいちばん安全なセキュリティ対策です。
その機能がどうしても必要なら、他に信頼できる代替プラグインがあるはずです。
あるいは、その機能なしで運営する方法を考えてみる。
プラグインを増やすことは、サイトの管理コストとセキュリティリスクを増やすことでもあります。
「無料だから試しに入れてみよう」を繰り返すと、サイトが重くなったり、相性問題が起きたり、ある日突然プラグインが閉鎖されてサイトが壊れたりします。
プラグインを入れることは、自分のサイトに他人のコードを招き入れることだと意識すると、選び方が変わってきます。
怪しいプラグインを見つけたら ― 通報の方法
明らかに偽物の可能性が高いプラグインを見つけた場合、誰でもWordPress.orgへ報告できます。
報告先
plugins@wordpress.org
書き方のポイント
- 件名は英語で簡潔に
- 「盗作です(plagiarism)」と断定するより、「uncredited fork / possible GPL attribution violation」(クレジット表示なきフォーク・GPL帰属義務違反の疑い)という表現のほうが通りやすい
- オリジナルプラグインのURL、疑わしいプラグインのURL、コード比較などの証拠を添える
- 感情的な表現は避け、事実だけを並べる
報告は誰でもできます。
ブロガー仲間のプラグインが被害に遭っていることに気づいたら、本人に代わって(あるいは本人と一緒に)報告することも可能です。
ブロガーと読者にできること
法的措置だけが解決策ではありません。
むしろ、コミュニティ全体で取れる、もっと実効性のある方法があります。
ブロガーが取れる行動
- 怪しいプラグインを記事で紹介しない
- アフィリエイトのテンプレートやおすすめプラグインリストに組み込まない
- 同業ブロガーに情報共有する
- 被害に遭った作者を見つけたら声をかける
読者が取れる行動
- プラグインをインストールする前に、上の6つのチェック項目を確認する
- 信頼できる長期メンテナンスのプラグインを優先して選ぶ
- 怪しいと感じたら使わない勇気を持つ
まとめ:あなたの選択がエコシステムを守る
WordPressという仕組みは、世界中のたくさんの作者が、無料で長年メンテナンスを続けてくれているおかげで成り立っています。
筆者が「ちゃんと作られたプラグインを選ぶ」という意識を持つことは、その作者たちへの一番の恩返しになります。
そして同時に、自分のサイトのセキュリティを守ることにもつながります。
その選択の積み重ねが、偽物プラグインを作っても誰も使わない=コピーする意味がない環境を作っていきます。
難しい法律論ではなく、「ちょっと立ち止まって確認する」というささやかな習慣が、ブログ界全体の健全さとセキュリティを支えているのです。
被害に遭った作者を晒し者にすることが目的ではありません。
コピー側の人を罵倒することも生産的ではありません。
やるべきは、著作権表示と作者名がきちんと残っているプラグインを選び続けること。
そしてその姿勢を、ブロガー仲間や読者に静かに伝えていくことです。
ブログを読みに来てくださっている皆さんも、もしご自身でWordPressを使う場面があれば、ぜひこのプラグインの見分け方6つのチェックを思い出してみてください。
出典
WordPress.org Detailed Plugin Guidelines #17
WordPress.org Plugin Developer FAQ(100% copies not accepted)
WordPress Plugin Team「Security and Guideline Violation Reports」
Free Software Foundation「GPL-compliant reasonable legal notices and author attributions」
GNU General Public License v2.0 公式テキスト
Software Freedom Law Center「Legal Guide to GPL Compliance」
日本国 著作権法 第19条(氏名表示権)
Envato「Guidelines for forking GPL code」
筆:健一
コメント