[調査・レポート]

2026年6月24日(水)日川 佳三（IT Leaders編集部）

シェアする

リスト

　GMOプライム・ストラテジーは、東証上場企業3941社（ETF、REIT、出資証券を除く）の公式・グループ・関連Webサイトを対象に「日本上場企業Webサイト技術調査 第1回」を実施した。該当のWebサイト全2万6643件のうち、正常に応答を確認できた2万4995サイトを対象にHTMLコンテンツを解析した。調査は2026年4月9日から同年4月12日にかけて実施した。

　分析対象2万4995サイトのうち、CMS（コンテンツ管理システム）のWordPressを採用していたサイトは9019件（36.1%）あった。同社は、「WordPressは普及率が高いことからサイバー攻撃の標的になりやすく、運用にあたっては本体やプラグイン・テーマの継続的なアップデートが前提になる」と調査の背景を説明する。

　WordPressなどのWebアプリケーションの稼働環境となる「PHP」のセキュリティも調べた。バージョンを外部から確認できた2654サイトのうち70.1%（1860件）はサポートが終了したバージョンを使っていた。このうち447件は10年以上前にサポートが終了したPHP 5.x以前のバージョンを使っていた。

　WordPressも、バージョン情報を確認できた3575サイトのうち15.6%（555件）が5.x以前の旧バージョンを使っていた。また、3575サイトのうち23.2%（830件）は最新のマイナーパッチを適用していなかった。2026年4月2日にWordPress公式が公開した修正パッチ（6.x系が対象）については、1週間後に実施した調査時点でサポート対象内の3018件のうち17.7%（533件）が該当の修正パッチを適用していなかった。

図1：WordPressを採用している9019サイトのうち、攻撃者がログイン試行を行いやすい条件に合致するサイトの割合（出典：GMOプライム・ストラテジー）
拡大画像表示

　WordPressを採用している9019サイトのうち、攻撃者がログイン試行を行いやすい状態となる以下の3条件が同時に確認できるケースは1007サイト（11.2%）にのぼった（図1）。同社によると、公式サイトよりもグループ・関連サイトのほうが同条件に該当しやすいという。

1. 管理画面をインターネットに公開している（誰でもログイン画面にアクセス可能）
2. ログインIDがREST API経由で外部から取得可能（攻撃者がユーザー名を特定できる）
3. 古い外部連携機能（xmlrpc.php）が有効（総当たり攻撃の効率を高める仕様が残存）