GMOプライム・ストラテジー株式会社は6月24日、東証上場企業3,941社を対象に実施した「日本上場企業Webサイト技術調査 第1回」の結果を発表した。
同調査は、東証上場企業3,941社(ETF・REIT・出資証券を除く)の公式・グループ・関連Webサイトを対象に、HTTP(S)応答情報とHTMLコンテンツの自動解析を実施した結果をまとめたもの。
WordPressを採用するサイトの中には、攻撃者がログイン試行を行いやすい状態となる下記の3条件が同時に確認されるケースがあり、これらはそれぞれが単独でもリスク要因だが、複数が重なることで攻撃の効率や成功可能性が大きく高まるという。
・管理画面がインターネット上に公開されている(誰でもログイン画面にアクセス可能)
・ログインIDがREST API経由で外部から取得可能(攻撃者がユーザー名を特定できる)
・古い外部連携機能(xmlrpc.php)が有効である(総当たり攻撃の効率を高める仕様が残存)
調査結果によると、WordPress採用9,019サイトのうち、3条件が同時に成立していたのは1,007サイト(11.2%)にのぼり、内訳を見ると、公式サイトは9.0%、グループ・関連サイトは11.6%と、グループ・関連サイトが高い水準となった。
また、WordPress管理画面無保護率、サーバー応答速度、HTTPS対応率など複数の指標で、公式サイトよりグループ・関連サイトの管理水準が低い傾向となった。なお、これらの差はプライム・スタンダード・グロースの3市場すべてで同じ傾向であった。
分析対象24,995サイトのうちWordPressを採用していたサイトは9,019件(36.1%)で、CMSが特定できたサイトに限定すると、その割合は81.0%に達していた。
WordPressなどのCMSを動かすために必要なWeb基盤ソフト「PHP」について、バージョンを外部から確認できた2,654サイトを分析した結果、70.1%(1,860件)がサポート終了済みのバージョンで稼働しており、さらに447件は、10年以上前にすべてのサポートが終了しているPHP 5.x以前であった。
WordPressについても、バージョン情報を確認できた3,575サイトのうち15.6%(555件)がWordPress 5.x以前の旧バージョンを使用しており、さらに、各ブランチに用意されている最新マイナーパッチを適用していないサイトは830件(23.2%)にのぼった。
WordPress公式は2026年4月2日に、サポート対象ブランチへバックポートパッチ(過去バージョン向けの修正パッチ)を一斉公開したが、その1週間後に実施した本調査時点で、サポート対象内の6.x系3,018件のうち17.7%(533件)が最新マイナーパッチ未適用であった。
同調査を担当したGMOプライム・ストラテジー ライセンス事業部 執行役員の相原知栄子氏は「PHPが古いまま放置されている、WordPressのパッチが適用されていないといった状態は、技術的な課題というより、適切に運用が継続される仕組みが組織として整っていないことを映し出しています。だからこそ短期的な対策だけではなく、グループ全体のWebサイトを俯瞰し、運用プロセスとして継続できる仕組みを作ることが何より重要だと考えています。」とコメントしている。

