ゼロデイAI攻撃とは?WordPress担当者が取るべき3つの基本対策
WordPressサイトを狙うAI攻撃は、2025年に70%以上急増しています。被害の92%はプラグインやテーマの脆弱性が起点です。対策は3つ——①最新化の徹底、②監視の強化、③バックアップ体制の整備。この3つを整えるだけで、リスクは大幅に下げられます。
ゼロデイAI攻撃とは何か?
ゼロデイ攻撃とは、ソフトウェアやプラグインの脆弱性が発見されても修正パッチが提供されていない「ゼロ」の状態を突く攻撃です。防御側に対策がないまま攻撃を受けるため、被害が深刻化しやすいのが特徴です。
これにAIの自動化・最適化が加わったのが「ゼロデイAI攻撃」です。AIが標的に応じた攻撃を自律的に生成できるため、従来のパターン検知型セキュリティでは見逃しやすく、防御がより難しくなっています。IPA(情報処理推進機構)の「情報セキュリティ10大脅威 2025」においても、ゼロデイ攻撃は組織に対する脅威の上位にランクインしています※1。
なぜWordPressが狙われやすいのか?
WordPressは2025年時点で全Webサイトの約43%を占めており、世界で最も使われているCMSです※2。シェアが高いということは、それだけ攻撃者にとって「効率的なターゲット」になります。
Patchstackの調査によると、2025年にWordPressエコシステムで発見された新規脆弱性は11,334件(前年比42%増)。そして成功した侵害の92%はプラグインやテーマが原因であり、WordPress本体ではありません※3。つまり「プラグインを更新していない」だけで、攻撃の入口を開けたままにしている状態です。
AIによるスキャンは毎秒36,000件ものプローブを記録しており、規模の小さいサイトも例外なく対象になります。
実際に起きた:サーバー異常とサーバー会社からの警告
ENVY DESIGNのお客様のサイトが実際に攻撃を受けたケースがあります。WordPressプラグインの脆弱性を突かれ、サーバーが異常に重くなり、サーバー会社から「ファイルを削除するか改善しないとアカウントを停止する」という警告が届きました。
「うちは中小企業だから狙われない」という認識は危険です。AIは規模を問わず自動でスキャンし、脆弱性があれば攻撃します。ENVY DESIGNがお付き合いしている中小企業を見ていても、セキュリティを後回しにしているケースは少なくありません。だからこそENVY DESIGNでは、WordPressのアップデートを定期的にお客様へ促すようにしています。
具体的なゼロデイ事例
Ultimate Member プラグインの権限昇格(WordPress)
WordPressの人気プラグイン「Ultimate Member」に発見された脆弱性(CVE-2023-3460)では、攻撃者が管理者権限を持つアカウントを不正に作成可能となり、多数のサイトが被害を受けました※4。
Royal Elementor Addons プラグインの任意ファイルアップロード
「Royal Elementor Addons and Templates」には、未認証ユーザーが任意のファイルをアップロードできる脆弱性(CVE-2023-5360)が存在し、約20万以上のサイトに影響しました※5。
AIが防御側に立った成功事例
Google/DeepMindの研究チームは、AIを活用してSQLiteの古いバージョンに含まれるメモリ破壊脆弱性を攻撃者より先に発見しました。AIは攻撃だけでなく防御にも役立つことを示す事例です。2025年にはMicrosoftやGoogleがAIを活用した自動脆弱性スキャンシステムを本格導入しており、防御側のAI活用は加速しています。
今すぐできる3つの対策
1. 最新化を徹底する
- WordPress本体、テーマ、プラグインを常に最新化する
- 不要なテーマやプラグインは削除する
- 自動更新やカレンダー管理を活用し、更新忘れを防ぐ
2. 監視を強化する
- サイト挙動チェック:表示速度の低下、エラーメッセージ、フォーム送信の不具合などを定期確認
- ログ監視:WordfenceやiThemes Securityなどのセキュリティプラグイン、またはサーバー管理画面からアクセスログ・エラーログを確認し、不審な動きがあれば即対応
3. バックアップと復元体制を整える
攻撃を完全に防ぐことは困難です。だからこそ「攻撃をゼロにする」ではなく、「攻撃を受けてもすぐ復元できる体制」を設計することが重要です。
- UpdraftPlus:日常的な自動バックアップに最適。Google DriveやDropboxなどクラウドに自動保存でき、1クリックで復元可能
- All-in-One WP Migration:サイト全体を1ファイルにまとめてバックアップ。移設・大規模リニューアル時に有効
攻撃を受けた場合の初動対応は?
- 直ちにサイトをメンテナンスモードに切り替える
- 管理者パスワードを即時変更
- サーバーログを確認し、不審IPを遮断
- バックアップからの復元を検討
- 必要に応じて専門業者に連絡
ENVY DESIGNの取り組み
ENVY DESIGNでは、デザイン性とセキュリティの両立を重視し、WordPressの更新・保守を専門チームで対応しています。
- 定期バックアップと監視体制を整備
- トラブル時も短時間で復旧対応可能
- 東京港区麻布十番・六本木周辺のお客様には、直接訪問によるサポート(BASE 10)も提供
まとめ
ゼロデイAI攻撃は、AIの自動化によって従来より速く・広く・精巧になっています。WordPressサイトの担当者が今すぐ取り組むべきは次の3点です。
- 最新化の徹底(プラグイン・テーマ・本体)
- 監視の強化(ログ・挙動チェック)
- 復元できる安心感の設計(バックアップ体制)
「自分たちは狙われない」という認識が、最大のリスクです。
WordPressの保守・セキュリティ対策についてはホームページ保守・運用サポートをご覧ください。保守契約の必要性については保守契約は必要か?費用と判断基準もご参照ください。
ENVY DESIGNが実施しているWordPressのセキュリティ設定の具体的な内容はWordPressのセキュリティ対策の内容もあわせてご覧ください。
セキュリティ上の問題からホームページのリニューアルを検討する際はホームページの耐用年数は3〜5年|リニューアル時期の見極め方もあわせてご覧ください。
参考文献
※1 IPA|情報セキュリティ10大脅威 2025※2 W3Techs|CMS Market Share
※3 Patchstack|State of WordPress Security 2025
※4 NVD(CVE-2023-3460)
※5 SISA Infosec|WordPress plugin zero-day
WordPressのセキュリティ対策・保守についてご相談がある方は、お気軽にお問い合わせください。
無料相談はこちら
制作会社・広告代理店様へ|コーディングやWordPress実装のリソースが不足している場合、ENVY DESIGNの外注パートナーサービス「KUROCO コーディング外注」でご相談を承っています。14年・50社以上の協業実績があり、NDA対応も可能です。
出典
- Schema.org(構造化データの公式仕様)
- Google Search Central(検索・構造化データの公式情報)
- Web Vitals(Core Web Vitalsの公式定義)
- Google検索公式ブログ(AI Overview等の発表情報)
関連記事