AIが変えたサイバー攻撃の世界
AIの普及により、サイバー攻撃は質・量ともに前例のないレベルへ達しています。世界中のWebサイトの43%以上を支えるWordPressは、その規模ゆえに攻撃者にとって最大のターゲットです。最新の脅威動向と、WPサイト運営者が取るべき対策を解説します。
72%
AI活用攻撃の前年比増加率
(2024→2025年)
+1,265%
フィッシング攻撃の急増率
(生成AI活用)
87%
AI起因の攻撃を経験した
組織の割合
生成AIの活用により、文法的に完璧で文脈に沿ったフィッシングメールが大量生成できるようになりました。AIが生成するフィッシングメールの開封率は78%に達し、クリック率は21%という高い数値が報告されています。攻撃者はAIを単なる「補助ツール」としてではなく、偵察・脆弱性スキャン・攻撃実行を自律的にこなすエージェントとして活用し始めています。
2025年9月、某国のAI専チームがAIエージェントを悪用し、毎秒数千リクエストという人間には不可能な速度で世界30機関以上を標的とした高度なサイバースパイ作戦が実行されました。
Anthropic セキュリティレポート(2025年)
WordPressサイトの現状——数字が示す深刻さ
WordPressはその圧倒的なシェアゆえに、攻撃者に狙われやすい環境にあります。
13,000件
1日あたりの
WPサイト侵害件数
7,966件
2024〜25年に報告された
新規脆弱性数(前年比+34%)
92%
プラグイン・テーマが原因の
侵害割合
毎週234件もの新たな脆弱性がWordPressエコシステムで発見されており、その96%はプラグインに起因します。AIによるスキャンツールは、数秒で数千のWPサイトをスキャンし、古いプラグインや設定ミスを特定します。かつては特定の高価値ターゲットを狙っていた攻撃が、今では規模を問わずすべてのサイトを無差別に標的とするようになっています。
WPサイトを狙う主な攻撃手法5つ
AI強化ブルートフォース攻撃
AIが流出済みパスワードのパターンを学習・予測し、管理者アカウントを数秒で突破します。2025年Q4にはブルートフォース攻撃が45%増加しており、二要素認証(2FA)なしのサイトは特に危険な状態にあります。
XSS・SQLインジェクション(AI自動化)
AIがセキュリティルールを回避するペイロードを自動生成・反復実行します。手動では不可能な規模の試行が可能になり、管理者のセッションクッキー窃取やデータベース情報の漏洩につながります。
プラグイン脆弱性の悪用
2025年には、AIエンジンプラグイン(10万サイト対象・CVE-2025-11749、CVSSスコア9.8)やPost SMTP(40万サイト対象・CVE-2025-11833)など、人気プラグインを標的とした権限昇格攻撃が多発しました。攻撃者は公開から数日以内に脆弱性を悪用し始めます。
AIフィッシング・偽ログインページ
WordPress管理画面を精巧に模倣したフィッシングページが生成され、管理者の認証情報を詐取する事例が急増しています。2025年初頭にはGoogleが18億人のGmailユーザーに対し、WP管理画面を模倣したAI生成フィッシングページへの警告を発出しました。
ゾンビプラグイン問題
更新が止まった放棄プラグインは永久に脆弱なまま放置されます。2025年12月だけで150以上のプラグインがWordPress公式リポジトリから削除されました。6ヶ月以上更新されていないプラグインは、パッチが当たることなくサイトをリスクにさらし続けます。
セキュリティ対応は早急な事案
AIの登場により、サイバー攻撃は自動化・大規模化・高度化の三拍子が揃った新時代に突入しました。
「小規模サイトは狙われない」は過去の話です。AIによる自動スキャンは規模を問わず全サイトを標的とします。むしろセキュリティ投資が少ない小規模サイトの方が、攻撃者に「簡単な標的」と見なされる傾向があります。
WordPressはその利便性と普及率ゆえに最大の標的であり続けます。毎日13,000件のサイトが侵害されているという現実は、セキュリティ対策を「いつかやろう」と先送りできるものではないことを示しています。
攻撃側がAIを武器にする今、防御側も同様にAIを活用したセキュリティ戦略への転換が求められています。
WPケアスタジオでは、セキュリティ対策を備えたサイト保守サービスを提供しています。
お見積りは無料ですので、下記ページからお問い合わせください。
保守サービス
WordPress保守サービス19選の比較まとめ
WordPress用のレンタルサーバ比較