Webサイトのセキュリティを考える際、「自分のサイトは有名ではないから狙われないだろう」「静的サイトだから絶対に安全だろう」という認識は、通用しません。
攻撃者の多くは、ボットを用いてインターネット上の無数のサイトを無差別に巡回し、既知の脆弱性を自動的に探し回っています。有名か無名かに関わらず、公開されている全てのWebサイトが常に攻撃の対象となっているのです。
脆弱性だけでなく、フィッシングや別の情報漏洩事件から得た情報で、乗っ取りを試みるようなケースもあります。
今回は、Webサイトの構築形態ごとに潜む具体的なリスクと、実際に起きた事例を含めて紹介します。
WordPressでの不安を今すぐ解消!
WordPressやWebに関する問題解決をプロがサポートします。
安心してWebサイトが運用できるよう、調査からご提案、実対策まで行います。
お気軽にご相談ください。
1. 静的HTMLサイトでも考慮すべき懸念点
静的HTMLサイトは安全だと思われています。
実際、比較すれば安全であるとは言えますが、CDNなどを利用して外部リソースを読み込むケースもあり、そこがセキュリティホールとなる可能性があります。
CDN経由の改ざん
jQueryなどのライブラリをCDN(コンテンツデリバリネットワーク)経由で読み込んでいるケースも多くあります。もし、この配信元が攻撃を受けた場合、そのライブラリを利用している全てのサイトで悪意あるコードが実行されてしまいます。
【事例:Polyfill.io】
多くのサイトで利用されていたライブラリ「Polyfill.io」のドメインが悪意ある事業者に買収され、マルウェアを配信するコードに書き換えられました(CVE-2024-38526)。
これにより、同サービスを利用していた世界中の10万以上のサイトで、閲覧者が不正なサイトへ誘導される被害が発生しました。「外部から読み込むたった1行のスクリプト」が、サイト全体の信頼を損なう事例です。
2. モダンJSフレームワークにおける懸念点
モダンJSフレームワークを用いた開発は主流となりつつあります。サーバーサイドレンダリングの仕組みも実装され、より複雑にリソースを活用して開発を行うことができるようになってきています。
しかし、そのフレームワークにも脆弱性が発見されることがあるため、何が利用されているのか把握し、適切なアップデートを行う必要が出てきます。
【事例:React2Shell (CVE-2025-55182)】
RSC(React Server Components)に発見された脆弱性です。認証なしで外部からサーバー上で任意のコードを実行できる極めて危険なものです。
3. SaaS型サービスにおける懸念点
システム基盤の管理をベンダーが行うSaaS型は、OSやミドルウェアの脆弱性を利用者が気にする必要がない点がメリットです。しかし運用面ではセキュリティリスクが存在します。
これらはインストール型のCMSでも同様のことが言えるでしょう。
サービスによって対応できる項目は変わりますが、管理画面にアクセスできる環境を絞る、二要素認証を入れるなどの対策を行う必要があります。
アカウント管理と権限の不備
- アカウントの乗っ取り: パスワードの使い回しやフィッシングによりIDやパスワードが流出すると、攻撃者は「正当な管理者」として堂々と侵入し、サイトの改ざんを試みます。
- ゾンビアカウント: 制作を依頼した外部パートナーや、退職したスタッフのアカウントを削除せずに放置することで、そのアカウント情報が何らかの形で流出した場合、改ざん被害などに合う危険性があります。
4. インストール型CMSとサーバー環境における懸念
WordPressに代表されるインストール型CMSにはいろんな環境で自由に利用できるという大きなメリットがあります。
しかし、安全に利用するには、「ソフトウェア(CMS)」と「インフラ(サーバー)」の両面での対応が必要になってきます。
CMS設定・運用上の不備に関する懸念点
インストール型CMSでも、SaaS型のCMSと同様の運用上の懸念点は存在します。
SaaS型のサービスと違うところは、運用・構築側がサーバーの設定から、権限やアクセス制限などの設定を適切に行う必要がある点にあります。
CMS自身が持つ機能だけで対応しきれない認証や設定に関しては、サーバー側で対応を行ったり拡張機能の導入をしたりすることで対応を行う必要が出てきます。
レンタルサーバーを利用するような場合は、レンタルサーバー付属の簡単インストール機能を利用すると、利用するサーバーに適した権限設定にしてくれるケースがあるため、できるだけこの機能を利用してインストールを行ったほうが、設定の漏れがなく安全かと思います。
CMS本体と拡張機能の懸念点
CMSにおいて、拡張性というのは非常に重要であり、WordPressもテーマやプラグインによる拡張性が高いことで、シェアを伸ばしてきたという一面があります。
しかし、世界中で利用されているCMSは攻撃手法も広く研究されているため、CMS本体のみならず、その拡張機能に関しても注意が必要になってきます。
もちろん、静的HTMLと同様、作り方によっては見た目や動作を制御するために外部リソースを読み込むこともあるため、そちらの注意も必要になってきます。
安全に利用するためには、どのような拡張機能を利用しているのかを把握し、CMSの本体も併せて適切にアップデートを行う環境を整えることが重要です。
【事例:LiteSpeed Cache の脆弱性】
2024年、500万以上のサイトで利用されているWordPressプラグイン「LiteSpeed Cache」に、管理者権限を奪取できる深刻な脆弱性が発見されました(CVE-2024-28000, CVE-2024-50550)。
この事例の恐ろしい点は、レンタルサーバーの一部で「高速化機能」としてデフォルトでインストールされているケースがあったことです。ユーザー自身が導入した認識がないまま放置され、改ざんの被害にあうということも考えられるケースです。
サーバー環境(レンタルサーバー・VPS/クラウド)のリスク
CMSを動かす土台となるサーバー環境によっても、懸念点は異なります。
- レンタルサーバー(共用サーバー):
サーバー会社が提供するPHPやデータベースのバージョンが古く、サポート切れの環境を使い続けざるを得ない場合があります。
また、同じサーバーに同居する他ユーザーが攻撃を受けた際の巻き添えリスクも否定できません。 - VPS・クラウドサーバー:
自由度が高い反面、OSやミドルウェア(Apache/Nginx/PHP等)の全管理責任が利用者にあります。「Webサイトの更新」はしていても、OSのセキュリティパッチ適用を何年も行っていないケースが散見されます。
OSレベルの脆弱性を突かれると、管理者権限(root)を奪われ、サーバー自体が完全に制御不能になる恐れがあります。
まとめ
Webサイトのセキュリティリスクは、構築手法や環境によって多岐にわたります。
静的サイトであってもCDNなどの利用を行っている場合、何を利用しているのかの把握と警戒が必要ですし、CMSやVPSを利用する場合は、日々の継続的な監視とアップデートが不可欠です。
これらを常に監視し、対応していくには情報を集める労力と、対応できる技術を持ち続ける必要があるため、多くのWebサイト運営側では荷が重いケースも少なくはありません。
どのような形で現在のWebサイトが動いていて、どのくらいの対応を行う必要があるのかはWebサイトごとに全然違うため、一概には言えませんが、より複雑な機能を持つフレームワークやCMSを利用する場合は、特に注意が必要であると考えていいでしょう。
また、運用という面でもセキュリティリスクが存在するという認識は持っておきましょう。