WordPress採用サイトの11.2%でログイン攻撃のリスク条件が同時成立
GMOインターネットグループのGMOプライム・ストラテジー株式会社(代表取締役 吉政 忠志、本社所在地:東京都千代田区、以下「GMOプライム・ストラテジー」)は、東証上場企業3,941社を対象に、国内初の大規模Web技術調査「日本上場企業Webサイト技術調査 第1回」を実施しました。
その結果、Web管理上のリスクは企業の「公式サイト」よりも、リクルートサイトやグループ会社サイトなどの「関連サイト」に集中している実態が明らかになりました。WordPress採用サイト9,019件のうち、1,007件では、ログイン攻撃を受けやすい3条件が同時に成立。またWeb基盤ソフト「PHP」の70.1%がサポート終了済みのバージョンで稼働していました。
本調査を通じて、Webサイト管理はIT部門だけの問題ではなく、経営・広報・マーケティングを含めた組織横断のガバナンス課題であることが明らかになりました。
【調査概要】
【調査結果サマリー】
1. ログイン攻撃のリスク条件が同時成立したWordPressサイトを1,007件確認
管理画面公開・ログインID外部公開・古い外部連携機能の有効化の3条件が同時成立。公式サイトより、グループ・関連サイトで条件成立率が高い
2.
公式サイトに比べ、グループ・関連サイトに管理格差
管理画面無保護率、サーバー応答速度、HTTPS対応率など複数の指標で、公式サイトよりグループ・関連サイトの管理水準が低い傾向を確認
3. CMSが特定できたサイトの81.0%がWordPressを採用
上場企業関連サイトにおける、圧倒的なシェア。蓄積された豊富な開発ノウハウと、対応できる制作会社やエンジニアの層の厚さが大きな強み。一方で、その高い普及率ゆえに、サイバー攻撃の対象になりやすいという側面も。これらを背景に、安全な運用を維持するための、定期的な本体・プラグインのアップデートおよび強固なセキュリティ対策との組み合わせが前提となる。
4. PHP・CMSの更新運用に遅れ
外部から確認可能なPHPの70.1%がサポート終了バージョン。WordPressの最新マイナーパッチも23.2%が未適用
【1. ログイン攻撃のリスク条件が同時成立したサイトが1,007件】
WordPressを採用するサイトの中には、攻撃者がログイン試行を行いやすい状態となる以下の3条件が同時に確認されるケースがありました。
・ 管理画面がインターネット上に公開されている(誰でもログイン画面にアクセス可能)
・ ログインIDがREST API(*1)経由で外部から取得可能(攻撃者がユーザー名を特定できる)
・ 古い外部連携機能(xmlrpc.php(*2))が有効である(総当たり攻撃の効率を高める仕様が残存)
これらはそれぞれが単独でもリスク要因ですが、複数が重なることで攻撃の効率や成功可能性が大きく高まります。WordPress採用9,019サイトのうち、3条件が同時に成立していたのは1,007サイト(11.2%)にのぼります。内訳を見ると、
公式サイトは9.0%、グループ・関連サイトは11.6%と、
グループ・関連サイトの方が高い水準でした。次の2.で示す管理水準の差が、ログイン攻撃の具体的リスクとして表れているといえます。
(*1)REST API:Webサーバー上のデータや機能を外部から呼び出して利用するための簡潔な仕組み(規約)です。 URLにアクセスする感覚で、データの取得や追加・削除などを標準的な形式(JSONなど)で効率よく行えます。
(*2)xmlrpc.php : WordPressなどのシステムが外部アプリケーションや他のブログと通信(自動投稿やピンバックなど)を行うためのプログラムファイルです。 XML形式のデータを使って遠隔操作できる便利な機能ですが、近年はサイバー攻撃(不正アクセスやDDoS攻撃)の標的になりやすいことでも知られています。
【2. グループ・関連サイトに顕在化する管理格差】
分析対象24,995サイトのうち、公式サイトは3,754件、グループ・関連サイトは21,241件でした。両者を比較すると、複数の指標で管理水準の差が確認されました。
これらの差はプライム・スタンダード・グロースの3市場すべてで同じ傾向を示しており、特定の業種や市場区分に限定された問題ではありません。
【3. WordPressが上場企業Web基盤の主流に】
分析対象24,995サイトのうちWordPressを採用していたサイトは9,019件(36.1%)でした。CMSが特定できたサイトに限定すると、その割合は
81.0%に達します。これは日本の上場企業関連サイトにおいて、同CMSが事実上の標準(デファクトスタンダード)のWeb基盤となっていることを示しています。
導入・拡張の手軽さから広く普及したWordPressですが、この圧倒的な普及率の高さゆえに、サイバー攻撃の格好の標的になりやすいというリスクも潜んでいます。そのため、
本体やプラグイン・テーマの継続的なアップデートが運用上の絶対前提となります。また利用が一つのCMSに集中している現況では、個々のサイトにおける更新運用の遅れや設定のばらつきが、特定企業の問題にとどまらず、上場企業グループ全体のWeb品質低下やセキュリティリスクに直結しやすい構造にあるといえます。
【4. PHP・CMSの更新運用に遅れ】
■ PHPの70.1%がサポート終了済みバージョンで稼働
WordPressなどのCMSを動かすために必要なWeb基盤ソフト「PHP」について、バージョンを外部から確認できた2,654サイトを分析しました。このうち
70.1%(1,860件)がサポート終了済みのバージョンで稼働しています。
さらに、447件で確認された
PHP 5.x以前は10年以上前にすべてのサポートが終了しており、長期間にわたりセキュリティ修正が提供されていない状態のまま運用が続いています。
■ WordPressもパッチ未適用が広範に
WordPressについても、バージョン情報を確認できた3,575サイトのうち
15.6%(555件)がWordPress 5.x以前の旧バージョンを使用していました。さらに、各ブランチに用意されている最新マイナーパッチを適用していないサイトは830件(23.2%)にのぼります。
WordPress公式は2026年4月2日に、サポート対象ブランチへバックポートパッチ(過去バージョン向けの修正パッチ)を一斉公開しました。しかし、その1週間後に実施した本調査時点で、
サポート対象内の6.x系3,018件のうち17.7%(533件)が最新マイナーパッチ未適用という状態でした。
公式から修正パッチが公開されて1週間経過した時点でも、広く適用されていない実態が浮かび上がっています。
【考察:Web管理の課題は"技術"ではなく"構造"にある】
本調査結果が示すのは、個別の技術的な不備ではなく、
上場企業グループにおけるWeb運用構造そのものの課題です。
1. 管理対象の拡大と分散運用
企業活動の拡大に伴い、公式サイト以外にもリクルート・サービス・グループ会社などのWebサイトが増加します。実際、プライム上場企業では1社あたり平均9件超のWebサイトを保有していますが、サイトの増加とそれに伴う運用の「サイロ化(縦割り化)」は、企業の市場区分に関わらず共通して見られる大きな課題です。多くの場合、サイトごとに管轄部門やシステム、外部の委託先が異なるため、全社共通の統治(ガバナンス)が効きにくくなります。その結果、「誰が・どの頻度で・どこまで責任を持つか」が整理されないまま分散運用される構造的な課題が生じます。本調査において、グループ・関連サイトの管理水準が3市場すべてで一様に低かったのは、企業規模や予算の問題ではなく、
こうした「運用体制のサイロ化」という構造的要因に起因している可能性が高いといえます。
2. バージョン・設定状態は「結果指標」
PHPやWordPressのバージョン、管理画面の公開状態といった指標は、それ自体が直ちに問題を意味するものではありません。
継続的な更新運用や点検が組織として行われているかを示す「結果指標」として捉えるべきものです。
3. 求められるのは「グループ全体を見渡す運用設計」
Webサイトは、24時間365日インターネット上で常に世界中からアクセスされ続ける「企業の顔」です。今やその位置付けや重要性は、企業の枠を超えて社会基盤(インフラ)の一部であるといっても過言ではありません。万が一のトラブルが企業ブランドや社会に与える影響が極めて大きいからこそ、上場企業グループのWeb管理には、以下の3点が厳格に求められます。
●管理対象の可視化:公式サイトに限らず、関連サイトを含めた全体像の把握
●
運用主体の整理:CMS利用を前提とした責任範囲・更新頻度・確認項目の明確な定義
●
継続的な更新運用:公開後も継続的に点検・更新を行う運用プロセスの組織的な設計
Webサイトの管理は、情報システム部門の技術課題であると同時に、
広報・マーケティング部門が日 常的に担う運用課題、
CISOが統括すべきセキュリティ課題、そして
経営層が向き合うべきガバナンス課題でもあります。
今、上場企業グループには部門横断で「誰が・どの頻度で・どこまで責任を持つか」を再定義することが求められています。
【調査担当者コメント】
「今回の調査で数字として明らかになったことは、現場で感じ続けてきた課題の裏付けでもあります。
PHPが古いまま放置されている、WordPressのパッチが適用されていないといった状態は、技術的な課題というより、
適切に運用が継続される仕組みが組織として整っていないことを映し出しています。だからこそ短期的な対策だけではなく、グループ全体のWebサイトを俯瞰し、運用プロセスとして継続できる仕組みを作ることが何より重要だと考えています。
今後も本調査を定点観測として継続してまいります。Webサイトの管理状態を社会全体で可視化していくことが、企業のWeb運用品質の向上、ひいては利用者の安心につながると信じています。」
GMOプライム・ストラテジー株式会社
ライセンス事業部 執行役員 / KUSANAGIプロダクトマネジャー / GMOエキスパート
相原 知栄子
【詳細データ】
本プレスリリースで紹介した内容の詳細データおよび分析は、総合レポート、WordPressセキュリティレポート、速度と表示品質レポートで公開しています。
URL:
https://www.prime-strategy.co.jp/report/jp-listed-companies-web-survey-vol1/
以上
【GMOプライム・ストラテジー株式会社】(URL: https://www.prime-strategy.co.jp/)
会社名 GMOプライム・ストラテジー株式会社(東証スタンダード 証券コード:5250)
所在地 東京都千代田区一番町8番地 住友不動産一番町ビル1階
代表者 代表取締役社長 吉政 忠志
事業内容 KUSANAGI Stack事業
・マネージドサービス
・クラウドインテグレーションサービス
・ライセンス
KUSANAGI Stackの開発と提供
・超高速CMS実行環境「KUSANAGI」
・高速化エンジン「WEXAL(R) Page Speed Technology(R)」
・戦略AI「ONIMARU(R) David」
資本金 453,798千円(2025年11月末時点)
【GMOインターネットグループ株式会社】(URL:https://group.gmo/)
会社名 GMOインターネットグループ株式会社 (東証プライム 証券コード:9449)
所在地 東京都渋谷区桜丘町26番1号 セルリアンタワー
代表者 代表取締役グループ代表 熊谷 正寿
事業内容 持株会社(グループ経営機能)
■インターネットインフラ事業
■インターネットセキュリティ事業
■インターネット広告・メディア事業
■インターネット金融事業
■暗号資産事業
資本金 50億円
※記載されている社名、製品名などの名称は、米国およびその他の国で登録された各社の商標または登録商標です。
Copyright (C) 2026 GMO Prime Strategy Co., Ltd. All Rights Reserved.
