「うちみたいな小さい会社のサイトを、わざわざ狙う人なんていないでしょう」
「バックアップさえ取っておけば、何かあっても元に戻せるから安心」
——もし今もそう思っているなら、この週末で考えを入れ替えてください。攻撃者はもう「会社の大小」で標的を選んでいません。AIが侵入と詐欺を自動化した2026年、狙われるのは「人気プラグインを更新せず放置している会社」です。そして皮肉なことに、いま最も危ないのは“バックアップのために入れたプラグイン”そのものでした。
1. 何が起きたか:バックアップ最大手「UpdraftPlus」に、認証不要の致命的な穴
2026年6月、WordPressのバックアッププラグインUpdraftPlusに、極めて深刻な脆弱性(CVE-2026-10795)が見つかりました。利用サイトは全世界で300万以上。日本の中小企業サイトでも定番の人気プラグインです。
問題は「認証不要(ログイン不要)」で悪用できる点です。攻撃者は管理者になりすまして任意のコマンドを実行でき、悪意あるプラグインを勝手にインストール・有効化して、サイトを乗っ取れます。セキュリティ企業Wordfenceは、わずか24時間で約5,000件の攻撃を遮断したと報告しています。
中小企業の実務でどうする?
結論、今すぐバージョンを確認してください。UpdraftPlus 1.26.5(無料版)/2.26.5(有料版)以降なら修正済みで安全です。それ以前なら、この記事を閉じる前に更新を。10年以上前のバージョンまで影響範囲に含まれており、「昔入れたまま放置」のサイトが最も危険です。
2. なぜ”小さな会社”ほど狙われるのか
「大企業が狙われるもの」という思い込みは、もう通用しません。IPAの「情報セキュリティ10大脅威2026」では、ランサムウェアが5年連続で第1位。そして被害組織の6割以上が中小企業です。
理由はシンプルで、攻撃がAIで自動化・量産化されたからです。攻撃者は規模を見て選ぶのではなく、「VPN機器が古い」「プラグインが未更新」「パスワードを使い回している」といった”穴の開いた会社”を機械的にスキャンして襲います。2025年のランサムウェア最大の侵入経路はVPN機器でした。
中小企業の実務でどうする?
自社サイトとネットワークの「更新されていない箇所」を棚卸ししてください。WordPress本体・プラグイン・テーマ、VPN/ルーターのファームウェア、そして使い回しパスワード。この3点が放置されているだけで、あなたの会社は”探されている側”です。
3. AIで詐欺メールが”完璧な日本語”になった
かつてフィッシングメールは「不自然な日本語」「妙な誤字」で見分けられました。その常識も崩れています。ChatGPTやGeminiなどの生成AIを悪用することで、攻撃者は誤字脱字のない自然な日本語の偽メールを大量生成できるようになりました。
しかも標的は日本に集中しています。セキュリティ企業Proofpointの観測では、ある新種のメール攻撃の90.7%が日本のユーザーを狙っていたとされます。「取引先からの請求書」「サイト管理会社からの更新通知」を装った一通で、社員がリンクを踏めば終わりです。
中小企業の実務でどうする?
「日本語が自然だから本物」という判断基準を捨てること。送信元ドメインの確認、リンク先URLの事前チェックを習慣化し、メール認証(DMARC)の強化、重要アカウントへのパスキー導入を進めてください。社員教育は”年1回の座学”ではなく、疑似訓練メールで実践する形が効果的です。
4. 「バックアップしてるから安心」という最大の落とし穴
今回の事件の教訓は、ここに尽きます。バックアップを取るために入れたプラグインが、乗っ取りの入口になった——備えのつもりが穴になる典型例です。
バックアップは「取っていること」がゴールではありません。(1)バックアップ先がサイトと同じサーバー内だと、ランサムウェアに一緒に暗号化される。(2)実際に復旧できるか試したことがない。この2つが放置されていると、いざという時に機能しません。
中小企業の実務でどうする?
バックアップは「サイト本体とは別の場所(外部ストレージ)」に保管し、年に1〜2回は復旧テストを実施してください。プラグイン自体の更新も忘れずに。「入れて終わり」が一番危険です。
5. この週末にやる「サイト防衛5分チェック」
難しい話ではありません。経営者が今週末に確認すべきは次の5つです。下表で「放置した場合」と並べて整理しました。
| 今週末のチェック項目 | 放置すると… | 対応の目安 |
|---|---|---|
| ① UpdraftPlus等プラグインを最新版に更新 | 既知の穴から乗っ取り・改ざん | 今日中 |
| ② WordPress本体・テーマの更新確認 | 権限昇格・不正ログイン | 月1回 |
| ③ 使い回しパスワードの変更・多要素認証 | なりすまし侵入 | 今週中 |
| ④ バックアップの保管先を外部に分離 | ランサムで丸ごと暗号化 | 今月中 |
| ⑤ 社員へAIフィッシング注意を共有 | 1通の偽メールで情報漏えい | 今週中 |
このうち1つでも「やっていない」があれば、それが穴です。まず該当箇所から潰してください。
まとめ:経営者が今すぐやる行動ポイント
UpdraftPlusの更新確認は”今日中”に。そのうえで、WordPress・プラグイン・パスワード・バックアップ保管先・社員のメール対応という「5つの蛇口」を月1で点検する運用に切り替えてください。サイトは作って終わりではなく、“閉め忘れた蛇口”を放置しないことが、最小コストで会社を守る一番の近道です。
「自社サイト、ちゃんと守れているか不安」という経営者の方へ
Green Villageでは、セキュリティ診断・サーバー移設から、攻撃に強いAI最適化ホームページ制作、AIに引用されるAIO対策、補助金(デジタル化AI導入補助金2026・リスキリング助成金)を活用した導入支援までワンストップでサポートします。「まず自社の穴がどこにあるか知りたい」という段階でも構いません。お気軽にご相談ください。
出典
- KUSANAGI「WordPress テーマ・プラグイン 脆弱性情報のまとめ(2026/06/04-2026/06/10)」
- securityonline.info「Critical UpdraftPlus CVE-2026-10795 Exploit Targets Millions」
- Search Engine Journal「UpdraftPlus WordPress Vulnerability Puts 3 Million Sites At Risk」
- TeamUpdraft「Important security update for UpdraftPlus and UpdraftCentral users」
- 経済産業省「中小企業の情報セキュリティ対策ガイドライン第4.0版」
- Proofpoint「日本が今、最も狙われている【続編】」
- NTTドコモビジネス「生成AIが作る『本物そっくりの攻撃メール』に要注意!」
