あなたの会社のサイト、本当に安全ですか?
「制作会社に依頼したから、うちのホームページは大丈夫」と、思っていませんか?
実は、多くの日本企業・団体のWordPressサイトが、驚くほどセキュリティ対策されていないという実態が判明しました。
今回は、ある調査結果をもとに、日本企業のWordPressサイトが抱える問題と、最低限やっておくべきセキュリティ対策、実際の被害事例、今すぐサイトを見直すべき理由などを紹介します。
目次
衝撃の調査結果:日本のWordPressサイトの41.9%が無防備!?
企業ホームページとネットマーケティングの実践情報サイト、WEB担当者Forumの記事(下部にリンクあり)によると、プライム・ステラトジー株式会社が、日本企業や団体のWordPressサイト約18万件を調査したところ、なんと41.9%のサイトが「誰でもログイン画面にアクセスできる」状態だったことが判明しました。
また、15.5%のサイトでユーザーIDがインターネット上で閲覧できる状態という、驚きのセキュリティリスクを抱えていることが判明しました。
この状態を例えるなら「自宅の住所と鍵のありかをネットに公開している」ようなものです。
調査対象は制作会社が作ったサイト!?
この調査結果から想定される意外な事実としては、この調査の対象となったWordPressサイトは、フリーランスや個人よりも、制作会社に制作してもらったサイトが圧倒的に多いとが考えられる、ということです。
なぜなら、日本の企業や団体が、フリーランスや個人にWEBサイトの制作を依頼するのはまだまだごく少数だからです。
制作会社は制作する専門!?ではその他は・・・?
私がこれまでに何度もお伝えしてきたように、WEB制作会社の多くは、あくまでもWEBサイトを制作するのが専門です。そのため制作すること以外の、集客とかWEBマーケティング、そして今回のセキュリティ対策などについては、素人レベルの知識しかもっていないケースも多いです。
実際、この調査結果でもセキュリティリスクを抱えるサイトが41.9%もあることから、私が伝えていたことの信憑性がこの調査結果で明らかになったとも言えます。
あくまでも、過去に接触したり調査した結果をもとにした私の主観です。高レベルでサイト制作以外のサービスを提供している制作会社もあります。
なぜ、こんな事態が起きているのか?
つまり、「プロに任せたから安心」という常識が、セキュリティにおいては通用しないことをこの調査結果が示しています。
ではなぜ、このような事態が起きているのでしょうか?その理由として考えられる理由を紹介します。
- 制作会社の多くは制作するのが専門の「見た目重視」であり、セキュリティ対策などの知識を持っていないケースも多い。
- セキュリティ対策はオプション対応として追加費用が必要なケースも多く、必須の基本セキュリティ対策であってもそのオプションに含まれることがある
- セキュリティ対策の重要性をクライアント側に十分に説明しないため、クライアントが不要と判断してしまう
- クライアント側もセキュリティ対策に関する知識がないため、勝手に「制作会社が対応してくれているだろう」と思って確認しない
など、制作会社側、クライアント側双方に原因があると考えられます。
そのため、企業や団体のサイトであっても、セキュリティ対策が施されていないサイトが多く存在している状態なのです。
正直な話、そういうサイトが多いと気づいたので、”セキュリティをしっかりしましょうね系”のYoutube動画や記事としてのコンテンツをいくつか作成しています。
「制作会社だから安全」とは限らない!よくある誤解とは?
Youtubeで、『フリーランスにWordPressサイトの制作を頼むな!』と主張するWEBデザイナーの方の動画をみましたが、その理由は、「セキュリティ対策が甘いから、制作会社に依頼すべき」というような内容でした。
これはわからなくもないのですが、セキュリティ対策をしっかりと行なっていれば、自分で作っても全然OKだと、私は考えていますし、そのために、セキュリティ対策系の動画を何本か無料でYoutube上で公開しています。
何が言いたいのか?というと、制作会社だから安全、フリーランスや個人は危険、という単純な構図ではないということです。
それも、この第三者機関が行なった調査結果で証明されましたよね?
調査対象は初歩的で必須のセキュリティ対策
ちなみに、この調査結果で伝えられている”ユーザーIDが公開されている状態”と”誰でもログイン画面にアクセスできる状態”という2つの問題は、特段難しい対応が必要なものではありません。
むしろ、WordPressサイトを作成するうえで、”必須”の初歩的なセキュリティ対策です。
セキュリティプラグインを導入すれば、数分で完了できるものです。プラグインに頼りたくないなら、コーディングでも割と簡単に対応できる対策です。
ですから、サイト公開の前にこの対応についての説明や対策をしてくれない制作会社は、セキュリティ対策の知識がないか、クライアントのサイトがどうなっても構わないと考えている可能性もあります。
ですから、早急に見直すことをお勧めします。意外と結構多いです。
ログイン情報がさらされるとどんな問題が起きるのか?
では、”ログインIDが公開されている”、”誰でもログイン画面にアクセスできる”ということの何が問題なのか?というと、それは、不正ログインされるリスクがあることです。
不正ログインされると、
- サイトの改ざんやランサムウェア攻撃を受ける
- 顧客情報やクレジットカードの情報が漏洩する
- サイトを通じてランサムウェア攻撃を拡散される
などのリスクがあります。
パスワードもすぐ突破される!?
「ユーザーIDとログイン画面がバレても、パスワードがわからないのだから、不正ログインされないでしょ?」
と思ったかもしれませんが、それはとても甘い考えです。なぜなら、“ブルートフォース攻撃”という手法でパスワードを突破されるリスクがあるからです。
ブルートフォース攻撃とは、鍵(パスワードやID)の番号を総当たりで試してパスワードを解析する方法なのです。例えば「0000」「0001」「0002」…と 自動で、機械的に総当たりで攻撃する方法なので、時間と回数を重ねれば、いつかはパスワードを破られてしまいます。
ちなみに、2024年時点で、8桁のパスワードなら30秒あれば突破されるそうです。衝撃的なスピードですよね?
日本企業や団体のサイトは危険な状態だった!?
ですから、日本の企業や団体のWordPressサイトのうち、ユーザーIDが公開されれている状態が15.5%、誰でもログインURLにアクセスできる状態が41.9%もあるというのは、かなりセキュリティリスクが高い状態といえます。
そして、おそらくですが、この調査結果は氷山の一角でしかなくて、小規模事業や店舗、個人起業家のサイトを含めたら、これらの数値は大きく上昇すると考えられます。
実は不正ログインされるケースは稀!?
そうは言っても、実際問題として、不正ログインされるケースは稀です。だからこそ、日本のWEBサイトのセキュリティに関する意識が低い状態とも言えます。
さらに、ハッカーに本気で狙われたら、セキュリティ対策をとっていても、突破される可能性の方が高いです。
「だったら、セキュリティ対策しても無駄じゃん!」
って思うかもしれませんが、予防しておくことで、被害を最小限にとどめることができるかもしれません。
例えば、パスワード入力に失敗した時に、通知が届くようになっていれば、「うちのサイト狙われている」とわかるので、さらなるセキュリティ対策や、リスクに備える行動をとる時間が確保できます。
また、ログイン試行回数を制限することで、ブルートフォース攻撃からの不正ログインを防ぐこともできるかもしれません。(それを外す裏ワザも想定できるので完全ではありません)
それから、対外的に公開する際にも、予防せずに事件が起きたのと、予防していたけど突破されて事件が起きてしまったのとでは、お客さんが受け止める印象を柔らかくできる可能性もあります。(あくまでも希望的可能性ですが・・・)
「予防していなかったのかよ!」と「ちゃんと予防してたけど突破されちゃったのか~」とでは受け止める印象が違いますよね?
おそらく、まだ、漠然と「ウチは大丈夫でしょ!」と思っている方もいると思いますので、実際にどのような被害が起きているのかを紹介します。
実際の被害事例
①KADOKAWA(ニコニコ動画)へのランサムウェア攻撃
2024年、動画サイト「ニコニコ動画」を運営するKADOKAWAがランサムウェア攻撃を受け、2025年3月期に特別損失として23億円を計上しました。
これは、以下の内容によるものと言われています。
- サービス停止による損失:攻撃により、動画共有サービス「ニコニコ動画」などが長期間停止し、これに伴う収益減少やユーザーへの補償が必要となった。
- 復旧費用:サーバーやシステムの復旧、セキュリティ強化のための費用が発生した。
- 個人情報漏洩への対応:従業員や取引先など約25万人分の個人情報が漏洩し、その対応や対策費用が必要となった。
詳細はセキュリティ対策Lab(下部関連リンクにURLを記載)をチェックしてみてください。詳しく説明されています。
②サイゼリアへのサイバー攻撃
飲食チェーンのサイゼリヤでも、2024年にサイバー攻撃によって約6万件以上の個人情報が流出しました。
<具体的な損失額は公表されていませんが、顧客との信頼関係や今後の経営にも大きな影響を与える事態だったと考えられます。
以下がその主な影響と言われているものです。
- 個人情報の漏洩: 従業員や取引先、過去の採用面接者などの個人情報が漏洩した可能性が指摘されています。ただし、クレジットカード情報やポイントカード情報は流出していないとされています
- 業務への影響: 攻撃により、いくつかのシステムが使用不能となり、業務の遅延や停止が発生しました.
- 信頼性への影響: 顧客や取引先との信頼関係に影響を与え、ブランドイメージの低下が懸念されています.
- セキュリティ対策の強化: サイゼリヤは攻撃を受けたサーバーを隔離し、外部のセキュリティ企業と連携して調査を進めています。また、今後のセキュリティ対策を強化する計画を発表しています
2つの事例を紹介しましたが、どちらも当事者ではないので、ネット上の情報のため、詳細な部分はどこまでが本当なのか?は不明です。が、事実として、サイバー攻撃を受けた企業であり、被害が発生していることは確かです。
KADOKAWAの方は23億円、サイゼリアの方は非公開ですが、それなりの金額の損失が発生していると考えられます。
この話を聞いて、それでも「ウチは大丈夫!」といって放置し続けますか?「怖っ」って思った方は、ぜひ、あなたのサイトのセキュリティがどうなっているのか?を確認してみてください。
今すぐやっておきたい!最低限のWordPressセキュリティ対策5つ
今回のユーザーIDとログイン画面が表示される問題について、あなたのサイトは対策できているか?を確認する方法を紹介し、まずは自分でチェックしてください。
といいたいところですが、その情報は、悪意のある人にとっては、有益な情報になりかねないので、この記事で紹介できるのは、ぼやっとしたものになりますがご了承ください。
1.ログインURLを変更する
ログインURLを知っている人だけが、ログイン画面にアクセスできる状態にしたいので、デフォルトのログインURLを必ず変更しましょう。
セキュリティ系のプラグインで簡単に設定できます。
注意点は、変更したログインURLを必ず記録しておくことです。これを忘れると、ログインできなくなります。
2.ログイン試行回数を制限する
ブルートフォース攻撃に備え、一定回数のログイン情報入力を失敗した場合、ログインできないようにしましょう。
セキュリティ系のプラグインで簡単に設定できます。
ただし、多くの場合、一定時間の制限になるので、完全にブルートフォース攻撃を防げるものではありません。
3.ログインIDは予測できないものを使う
よく使われるものやライターの氏名、屋号など、予測しやすいログインIDの使用はやめましょう。
これは、Wordpressの”ユーザー”から変更できます。
4.Wordpressやプラグインは常に更新する
Wordpressやテーマ、プラグインは常に更新し、最新verのものを使うようにしましょう。
古いverのものを使っていると、それにウイルスを潜まされるリスクが発生します。
余談ですが、バックアッププラグインの古いバージョンに、バックアップデータの中にランサムウェアを潜ませる事案がありました。そのバックアップを復元しようとしたら、そのPCやサーバーがランサムウェアに攻撃されるという、とても危険なものでした。私も使っていたプラグインだったので、もし、更新しないまま利用していたらと考えると、ゾッとします。
5.セキュリティプラグインを導入する
Wordpressサイトを運営するには、セキュリティプラグインは必須です。無料で使える優秀なプラグインもあるので、お勧めです。
注意点としては、制作会社によっては無料のセキュリティプラグインを導入することが”セキュリティ対策”としてサービス料をとるケースもあるので、実際にどのようなセキュリティ対策を、どのような方法で行うのか?を確認するようにしましょう。
以上、最低限やっておきたい、セキュリティ対策を5つ紹介しました。詳細が気になる方は、お問い合わせください。
まとめ:見た目だけじゃない、守れるホームページへ
ホームページは会社の顔であり、信頼を築くための大切な資産です。
しかし、見た目やデザインだけでは、本当に守れるホームページにはなりません。
今回お伝えしたように、WordPressサイトのセキュリティ対策は「プロに任せたから安心」ではなく、サイト運営者自身がそのリスクを理解し、最低限の対策を講じることが必要不可欠です。
特に、ユーザーIDの漏洩やログイン画面の無防備な公開といった“基本のキ”とも言える部分ができていないサイトが、企業サイトでも多く存在しています。
サイバー攻撃は、ある日突然やってきます。そして、不正アクセスによって引き起こされる被害は、金銭的損失だけでなく、ブランドイメージや顧客との信頼関係にも深刻なダメージを与える可能性があります。
「うちは大丈夫」と思っていたサイトが、ある日突然、加害者にも被害者にもなる——そんな未来を防ぐためにも、今日から一つずつ、セキュリティ対策を見直してみてください。
実際にやってみると気づくのですが、対策は“難しいもの”ではなく、“知らなかっただけ”のことが多いのです。この動画をきっかけに、安心・安全なサイト運営への第一歩を踏み出していただけたら嬉しいです。
まずは、あなたのサイトが大丈夫かどうか?をぜひチェックしてみてください。
最後に:あなたのサイト、見直しませんか?
まずは、あなたのサイトが大丈夫かどうか?をぜひ、チェックしてみてください。以下の項目を確認してみて、対応していないものがあれば、早急に対応することをお勧めします。
✅ ログイン画面は誰でもアクセス可能?
✅ パスワード入力の試行回数制限は設定済み?
✅ WordPressやプラグインは最新版?
✅ セキュリティ対策プラグインは導入済み?
もし、ご自身ではわからない、という方はお問い合わせください。
関連リンク
・WEB担当者Forum 記事
https://webtan.impress.co.jp/n/2025/03/21/48860
・プライムストラテジー㈱ リリース記事
https://www.prime-strategy.co.jp/information/wordpresssec/
・セキュリティ対策Lab
https://rocket-boys.co.jp/security-measures-lab/niconico-kadokawa-cyberattacks/
