ゼロデイAI攻撃とは？WordPress担当者が取るべき3つの基本対策

はじめに

2025年は国内でも重大インシデントが相次ぎました。9月末にはアサヒグループHDがランサムウェア攻撃を受け、受注・出荷を含む国内オペレーションが停止し、流通にも波及しました。10月には、物流パートナーASKULのランサムウェア被害が原因で物流をASKUL子会社に委託無印良品など小売のECが停止し、サプライチェーン起点のリスクが露呈しています。さらに10月20日にはAWSで大規模障害が発生し世界的に多数サービスが停止。今回の件は「サイバー攻撃が原因ではない」と報じられましたが、クラウド基盤の単一依存が持つ脆弱性を強く印象づけました。

こうした背景のもと、近年、セキュリティ分野で注目されているのが「Zero-Day AI Attack（ゼロデイAI攻撃）」です。これは従来のゼロデイ攻撃（脆弱性が修正される前に狙われる攻撃）に、AIの自動化や分析力が加わった新しい脅威です。AIが標的に応じた攻撃を自律的に生成できるため、防御がより難しくなっています。ホームページ制作やWebサイト制作を行う事業者にとっても、他人事ではありません。

ゼロデイ攻撃とは？

ゼロデイ攻撃とは、ソフトウェアやプラグインの脆弱性が発見されても修正パッチが提供されていない「ゼロ」の状態を突く攻撃です。防御側に対策がないまま攻撃を受けるため、被害が深刻化しやすいのが特徴です。IPA（情報処理推進機構）の「情報セキュリティ10大脅威 2025」においても、ゼロデイ攻撃は組織に対する脅威の上位にランクインしています※1。

AIで進化するゼロデイAI攻撃

• AIが脆弱性を自動で解析し、標的に最適化した攻撃を作り出す
• 短時間で大量の攻撃を実行できる
• 従来のパターン検知型セキュリティでは見逃しやすい

海外メディアAxiosも「AIが自律的に攻撃を最適化する未来」について警告しています※2。

具体的なゼロデイ事例

Ultimate Member プラグインの権限昇格（WordPress）

WordPressの人気プラグイン「Ultimate Member」に発見された脆弱性（CVE-2023-3460）では、攻撃者が管理者権限を持つアカウントを不正に作成可能となり、多数のサイトが被害を受けました※3。

Royal Elementor Addons プラグインの任意ファイルアップロード（WordPress）

「Royal Elementor Addons and Templates」には、未認証ユーザーが任意のファイルをアップロードできる脆弱性（CVE-2023-5360）が存在し、約20万以上のサイトに影響しました※4。

Bricks Builder のゼロデイ脆弱性（2024）

2024年には、WordPressテーマビルダー系の「Bricks Builder」にゼロデイ脆弱性（CVE-2024-2561）が発見されました。攻撃者が任意のコードを実行できる危険性があり、広範囲に影響を与えました。

防御側の成功事例：SQLiteの脆弱性をAIが先に発見

Google / DeepMind の研究チームは、AIを活用して SQLite の古いバージョンに含まれるメモリ破壊脆弱性を攻撃者より先に発見しました※5。これは「ゼロデイ攻撃を防いだ成功事例」であり、AIは攻撃だけでなく防御にも役立つことを示しています。さらに2025年には Microsoft や Google が、AIを活用した自動脆弱性スキャンシステムを本格導入しており、防御側のAI活用は今後さらに加速すると見られています。

WordPressを使ったWebサイト担当者が今できる3つの対策

1. 最新化を徹底する

• WordPress本体、テーマ、プラグインを常に最新化する
• 不要なテーマやプラグインは削除する
• 自動更新やカレンダー管理を活用し、更新忘れを防ぐ

2. 監視の強化

• サイト挙動チェック：表示速度の低下、エラーメッセージの発生、フォーム送信の不具合などを定期的に確認
• ログ監視：WordfenceやiThemes Securityなどのセキュリティプラグイン、またはサーバー管理画面からアクセスログ・エラーログを確認し、不審な動きがあれば即対応

3. バックアップと復元体制を整える

攻撃を完全に防ぐことは困難です。だからこそ「攻撃をゼロにする」のではなく、「攻撃を受けてもすぐ復元できる安心感」を設計することが重要です。

• UpdraftPlus：日常的な自動バックアップに最適。データベース・プラグイン・テーマ・アップロードファイルを分割保存し、Google DriveやDropboxなどクラウドに自動保存可能。1クリックで復元できるのも強み。
• All-in-One WP Migration：サイト全体を1つのファイルにまとめてバックアップ可能。別環境への移行や大規模リニューアル時に有効。日常保守はUpdraftPlus、移設時はAll-in-One WP Migrationと使い分けるのが理想。

攻撃を受けた場合の初動対応フロー

• 直ちにサイトをメンテナンスモードに切り替える
• 管理者パスワードを即時変更
• サーバーログを確認し、不審IPを遮断
• バックアップからの復元を検討
• 必要に応じて専門業者に連絡

まとめ

ゼロデイAI攻撃は、従来のゼロデイ攻撃にAIの自動化と最適化が加わった新しい脅威です。ホームページ制作やWebサイト制作を行う担当者が今すぐ取り組むべきは、次の3点です。

1. 最新化の徹底
2. 監視の強化
3. 復元できる安心感の設計

WordPressは2025年時点で全Webサイトの約43％を占めており、依然として広く利用されています※6。セキュリティ対策は「WordPressサイトの問題」に留まらず、Web全体に直結するテーマです。

ENVY DESIGNの取り組み

ENVY DESIGNでは、デザイン性とセキュリティの両立を重視し、WordPressの更新・保守を専門チームで対応しています。

• 定期バックアップと監視体制を整備
• トラブル時も短時間で復旧対応可能
• 東京港区麻布十番・六本木周辺のお客様には、直接訪問によるサポート（BASE 10）も提供

「安心して任せられるホームページ制作・Webサイト制作」を支援しています。

参考文献

※1 IPA｜情報セキュリティ
※2 Axios – AI Plus Newsletter
※3 NVD（CVE-2023-3460）
※4 SISA Infosec｜WordPress plugin zero-day
※5 TechRepublic｜AI beats hackers to zero-day exploits
※6 W3Techs｜CMS Market Share