セキュリティ事故は、いつ誰の身にも起こりうる
「WordPress、使っていますか」。スパイラルでプラットフォーム活用推進本部長を務める三谷章太郎氏は、そう会場に語りかけた。オープンソースのCMSとして広く普及するWordPressは、テーマやプラグインによる拡張性、PHPベースの柔軟なカスタマイズ、MySQLとの親和性などが強みとされている。ドキュメントやナレッジも豊富で、開発者・デザイナーにとっては扱いやすい存在だ。しかし、その使いやすさの裏にセキュリティ面の脆弱さが潜むことを、三谷氏は身をもって経験している。
話は10年以上前にさかのぼる。三谷氏は前職でとある顧客のWebサイトを手掛けた。Webサイト自体はWebデザイナーが構築したが、そのバックエンドとしてWordPressを連携させて、記事情報を別途静的ページに吐き出す仕組みを作っていた。そのWebサイトについて、あるとき営業担当者から「トップページの表示がおかしい」との連絡があった。最初は、納品後に顧客側で何かファイルをいじったせいだろうと三谷氏は思い、しぶしぶ確認してみたところ、見慣れないバナーが表示されていた。それは、フィッシングサイトへ誘導する不正広告だった。
そこで、問題のHTMLから不審な記述を削除する形で修正し、バナーを消して営業担当者に報告した。
だが、営業担当者から再び「まだ表示されている」との連絡があった。再度対応したが、何度更新してもバナーはすぐに復活した。何かが裏で動いているかもしれない。マルウェアの可能性に震えた三谷氏は、ファイルの更新履歴をもとに調査を開始した。異常が発生したとされる時刻以降に更新されたファイルを洗い出し、その中から明らかに不要なファイルを特定。削除したところ、ようやくバナーの再表示は止まった。
原因は何だったのか。実は三谷氏にもはっきり分からない。「こうした事態を想定していなかったため、ログを取るなどの仕組みを実装しておらず、何が起きたのか、なぜ起きたのかを明確に説明できませんでした」。三谷氏は大きな反省を口にする。
加えて、三谷氏が痛感したのは、アクセス数の多寡に関係なく攻撃は発生するという事実である。「アクセスが特に多いわけでもなかったので、まさか被害に遭うとは思いませんでした」。サイバー攻撃が対岸の火事ではないと痛感した瞬間だった。
三谷氏は情報処理推進機構(IPA)が公開する「脆弱性対策情報データベース JVN iPedia」の2025年第2四半期レポートを取り上げて、ここ数年でアプリケーション関連の脆弱性報告が急増していると述べた。さらに、JVN iPediaの脆弱性対策情報へのアクセス数ランキング上位はすべてWordPress関連であり、セキュリティリスクへの懸念は未だに高いと同氏は分析する。
