AI悪用で高度化するWordPress攻撃：増加中の手口10種と「30分で守る」即効対策

生成AIの進化が続く中、WordPressサイトをはじめとする多様なWebサイトにおいて、AIはコードだけでなく文章や画像の生成にも活用されるようになりました。その高度化したサポート機能は、今後のWebの未来を支える大きな力になるでしょう。私自身も、AIを用いた自動ワークフローや開発に日常的に役立てており、業務の効率化やサポートの質向上に大きく貢献していると実感しています。

しかし一方で、近年は悪質な攻撃にAIが悪用されるケースが急増しています。ここ1～2年の間に、詐欺メールから日本語の不自然さが消え、ドキュメント・請求書・契約書までもが“自然な日本語で偽装されるようになりました。さらに、リンク先の偽ログインページやマルウェア配布が自動連携されるなど手口も巧妙化。SEOスパム記事や不正プラグインのコードがAIによって量産され、WordPress運用者はこれまで以上に「気づきにくい攻撃」と対峙しなければならない状況にあります。

速度のシフト：スピアフィッシング、SEOスパム、淀みない日本語のサポート詐欺が数十～数百倍のスピードで展開。

精度のシフト：社名・部署・直近の話題まで調べ上げた**“本物らしい”文面**でだます。

規模のシフト：自動化（ボット＋人力）で24/365。守る側の一点突破を粘り強く狙う。

スピアフィッシング型サポート詐欺：本物そっくりの請求・規約改定・セキュリティ警告。

偽ログインページへの誘導：メール→LP→偽2FAまで一気通貫。

SEOスパム自動生成：AIで量産した記事をクローキングで検索エンジンだけに見せる。

悪性プラグインの自動生成：バックドアやWebシェルを仕込んだ“便利ツール”を装う。

ログイン試行の高度化：リスト攻撃＋行動分析で人間っぽさを演出。

CAPTCHA突破の外注化：人力代行・画像認識AIの併用で突破率が上昇。

改ざんの自動復元：検知→削除しても、タスクやcronから自己再生。

GTM/広告タグ悪用：タグ管理やリダイレクト網を使い回し、訪問者だけを他所に飛ばす。

サプライチェーン狙い：配布テーマ・プラグインの改竄、CDN・DNS設定の乗っ取り。

社内チャット/AIボットの誘導：社内のAIアシスタントに“うその手順”を学習させるプロンプト汚染。

管理権限の棚卸し＋全員MFA必須化：使っていない管理者は即停止。

ログイン防御の二段構え：レート制限＋ログインURLの露出抑制（※“隠すだけ”に頼らずレート制限を主軸に）。

XML-RPC制限：使っていなければ無効化。リモート投稿等が必要な場合はIP制限。

GTM/広告タグの監査：現在適用中のタグを棚卸し→不要削除→変更履歴を控える。

バックアップ＆改ざん検出：直近フルバックアップを1つ確保／差分監視を有効化。

補足：.htaccessでXML-RPCを止める一例（Apache）

影響範囲の特定、緊急バックアップ、管理者パスワード＆APIキー一斉ローテーション、MFA強制。

公開停止が難しい場合はWAF/メンテで被害拡大を抑制。

不審ユーザー/プラグイン/テーマ/タスクの削除、uploads内PHPの除去、.htaccess/Nginxの見直し。

GTM/タグ・wp-config.php・DBのoptionsを重点監査。

コア/テーマ/プラグインを安全ソースから再導入。

差分監視・ログ保全を整備、再発防止の運用手順（権限・MFA・更新窓口・変更管理）を固定化。

変更管理：誰が、何を、いつ変えたか――記録とレビューを標準化。

最小権限：制作会社・外部ライター・翻訳者などロール分離を徹底。

月次点検：ユーザー棚卸し／GTM棚卸し／バックアップリストア試験／差分監視のアラート検証。

訓練：スピアフィッシング模擬演習を四半期で回す。

A. 無意味ではありません。ただし単独運用では不十分。レート制限・MFA・IP制限と併用しましょう。

A. ノイズは減るが、それだけでは突破されます。MFA＋レート制限＋棚卸しを必須に。

A. 便利ですが銀の弾丸ではありません。権限管理・更新運用・バックアップの土台が先です。

A. 収益や計測に支障が出ます。棚卸しと変更管理で安全に使う方が現実的です。

A. 証跡保全→封じ込め→根絶→復旧ができる専門家に。緊急対応の実績と手順公開のある相手を選びましょう。

私自身のサービスでも、攻撃を受けたWordPressサイトの対処や、不具合修正・復旧対応を行っております。緊急時でもできる限り迅速にご対応いたしますので、ぜひお気軽にお声掛けください。