こんにちは。KUSANAGI 開発チーム、プロダクトマネジャーの相原です。
私たちは普段、「Security Advisory for WordPress」を通じて脆弱性情報を発信していますが、日々膨大に増え続ける情報を前に、「これまでの延長線上の対策で本当に足りるのだろうか?」という危機感を抱くことがあります。
そこで、AIのDeep Researchを使い、世界中のセキュリティレポートや技術文書から「2025年後半から2026年にかけたWordPressへの攻撃トレンド」を徹底的に分析させてみました。そこから見えてきたのは、私たちが想定しているような「いたちごっこ」のレベルを超えた、「人間が手動で守る限界」を考えさせられるデータでした。
今回は、AIと共に読み解いたこのレポートの中から、特にWebサイト運営者が直視すべき「3つの脅威」と、これからの生存戦略について考えてみます。
「タイム・ギャップ」の消滅~パッチ公開から攻撃までわずか4時間
脆弱性が発見されてから攻撃されるまでの猶予(タイム・ギャップ)が短くなっている、ということを聞いたことがある人も多いのではないでしょうか。
レポートによると、2025年に入り、脆弱性の公開ペースは1日平均22件に達しています。ですが、本当に恐ろしいのはその「数」ではなく「速度」です。 これまではパッチの公開から攻撃開始まで数日の猶予がありましたが、現在は脆弱性公開から24時間以内に悪用コードが実行されるケースが約3割を占めています。さらに深刻な事例では、公開からわずか4時間以内に攻撃者のボットネットがスキャンを開始していることが確認されています。
一方でサイト管理者がパッチを適用するまでの平均期間は依然として14日程度かかっている状況にあります。
これが何を意味しているのか… 「明日出社してからアップデートしよう」とか「検証環境で1週間テストしてから」といった人間のタイムスケールでの運用が、致命的なリスクになり得るということです。攻撃者は私たちが寝ている間に、機械的な速さで隙を突いてきます。
「AI対AI」の戦い~攻撃の質的変化
次に注目すべき点は、攻撃者側もAIを武器にしているということです。これまでのような「数打ちゃ当たる」攻撃から、AIによる「高精度かつ効率的」な攻撃へと質が変わっています。
• 「違和感のない」フィッシング: 生成AIが悪用され、ターゲット企業の組織文化や文脈に完璧に合わせたフィッシングメールが作成されています。文法ミスや不自然な日本語といったこれまでの「見破るポイント」は通用しなくなっています。
• ポリモーフィック・マルウェア: AIがマルウェアのコードを動的に書き換え、シグネチャ(ウイルスの指紋のようなもの)を毎回変化させるため、従来のパターンマッチング型の検知をすり抜けてしまいます。
• ディープフェイク音声(Vishing): 上司や取引先の声をAIでクローンし、電話で緊急の対応を迫る詐欺も急増しています。
最近SNSでも上司などを装ってLineグループの作成依頼などで返信を誘うスパムメールが話題になりましたね。
攻撃側はAIによる自動化・最適化を完了しています。これに対し、防御側が旧来の手動対応や古いルールのままであれば、勝負にならないのは明白ですね。
「ゾンビプラグイン」とサプライチェーンのリスク
もう一つ、私たちが注意しなければならないのは。「見えない場所」からの攻撃です。 レポートでは、公式リポジトリから削除されたものの、ユーザーのサイトには残り続けている「ゾンビプラグイン」のリスクが指摘されています。更新が止まったプラグインは、格好の攻撃対象です。
また、個別のサイトではなく、プラグインの開発元やホスティング環境そのものを狙う「サプライチェーン攻撃」も産業化しています。信頼してアップデートしたはずのファイルにバックドアが仕込まれているケースもあり、これまでの「公式だから安心」という常識が通用しなくなっています。これはWordPressに限った話ではありません。
2026年は「能動的防御」への転換点
これらを踏まえ、私たちはどうすればよいのでしょうか? レポートの結論として示されたのは、「受動的な防御から、能動的な防御(Active Defense)へ」のパラダイムシフトです。
1. サーバー層での「仮想パッチ」: プラグインの修正を待つのではなく、WAFなどでサーバーレベルで脆弱性へのアクセスを遮断する「仮想パッチ」の運用が必須になります。4時間で攻撃が来る以上、これしか時間を稼ぐ方法はありません。自動アップデートは大前提です。
2. パスワードレスへの移行: AIによる高度なフィッシングに対抗するため、パスワードそのものを使わない「パスキー(生体認証)」への移行が急務です。WordPressに関しては、まだパスキーに対応するプラグインが少ないため、2段階認証のプラグインなどを活用するとよいでしょう。
3. インフラレベルでの対策: 30Tbpsを超えるようなハイパー・ボリュメトリックDDoS攻撃も観測されており、個別のサーバー設定だけでなく、堅牢なインフラやCDNを含めた多層防御が求められます。
最後に
今回のリサーチ結果は、今まさに起きている現実です。 脅威は高度化していますが、私たち防御側にもKUSANAGIのような高速かつ堅牢な実行環境や、WAFなどの技術があります。
「人間が頑張る」セキュリティから、「システムとAIに任せる」セキュリティへ。 このレポートを読み解きながら、改めてインフラ側での自動化やSecurity Editionのような仕組みの重要性を痛感しました。
変化を恐れず、新しい防御の形を取り入れていきましょう!
