Blog
WordPressのmonoculture+AIプラグイン密結合が金融と同じ構造的脆弱性を持つ
前回の記事で、パウエルFRB議長とベセント財務長官が銀行CEOを緊急招集した理由を分析した。金融システムの三層構造(COBOL・Copilot・SWIFT)が、Mythosクラスの自律型AIに対して構造的に脆弱であることを示した。
しかしこの問題は金融だけではない。全く同じ構造がウェブの世界にも存在する。
WordPressは世界のウェブサイトの約43%を動かしている。サイト数にして4億7,200万〜6億500万。CMS市場に限れば60%という圧倒的な支配下にある(W3Techs 2026年4月)。MicrosoftのOffice独占と同じ規模のmonoculture(単一栽培)だ。
そしてMicrosoftがCopilotを全製品に密結合させたのと同じことが、今、WordPressの世界でも起きている——AIエージェントの大量導入だ。
この巨大なmonocultureを支えているのが、公式ディレクトリに登録された61,000〜70,000個以上のプラグインだ。しかし、これがそのまま攻撃面の温床になっている。
セキュリティ企業Patchstackのレポートが示す数字は衝撃的だ。WordPress関連の新規脆弱性は爆発的に増加している。2024年には前年比34%増の7,966件。2025年にはさらに42%増加し、年間11,334件に達した。97%がサードパーティ製プラグインやテーマに起因する。WordPress本体はわずか0.2%に過ぎない。セキュリティデータベースが追跡しているWordPressエコシステム全体の脆弱性総数は64,782件——単一のCMSとして史上最大だ。
さらに深刻な事実がある。2025年のデータでは、発見された脆弱性の57.6%が認証を一切必要としない攻撃ベクトルだった。外部の攻撃者がクレデンシャルなしで悪用可能。そしてプラグインの脆弱性の46%が、公開された時点でパッチが提供されていないゼロデイ状態だった。
防御側は機能していない。テスト環境における実証では、5つの主要ホスティングプロバイダが提供するWAF(Web Application Firewall)に対し、11種類の既知の脆弱性エクスプロイトを実行した結果、ホスティング側の防御層は攻撃の87.8%をブロックできず、攻撃を透過させてしまうことが確認されている。
WordPressのプラグインアーキテクチャは、MicrosoftのCopilotと同じ構造的問題を持つ。プラグインはインストールされ有効化されると、WordPress本体と全く同じ権限レベルで実行される。データベースに対して完全なSELECT、INSERT、UPDATE、DELETE権限を保持する。内部にサンドボックス構造が存在しない。一つのプラグインの脆弱性が、サイト全体——顧客データ、決済情報、管理者権限——への無制限のアクセスルートになる。アプリケーション層の一部が突破されれば、全体が陥落する。
これを金融の三層構造と対比すると構造が見える。
金融の第一層COBOL(レガシー基盤)に対応するのが、WordPress本体+MySQL。何十年にもわたり継ぎ足されたPHPコードだ。金融の第二層Copilot(非決定的AI)に対応するのが、WordPressのAIプラグイン。金融の第三層SWIFT(グローバル接続)に対応するのが、インターネットそのもの。
ここに決定的な差がある。金融には閉域網がある分、まだ防御層がある。しかしWordPressはインターネットに直接露出している。金融システムよりも脆弱だ。
WordPressのエコシステムでは「AI Engine」(10万以上のアクティブインストール)、「AI Power」、「Elementor AI」(1,000万以上のインストール基盤を持つページビルダーにネイティブ統合——全世界のウェブサイトの約13%、WordPressサイトの約30%を構築する基盤)といったAIプラグインが数百万サイト規模で導入されている。
これらのプラグインは、すでに重大な脆弱性を露呈している。「AI Power」プラグインでは、非認証者による任意のファイルアップロード(CVE-2024-10392、CVSS 9.8——外部の攻撃者がクレデンシャルなしにWebシェルをアップロードしリモートコード実行が可能)、認証されたユーザーによるPHPオブジェクトインジェクション(CVE-2025-0586/CVE-2025-0428、CVSS 7.2)が繰り返し発見されている。
WordPressにAIエージェントを追加することは、ナデラがOfficeにCopilotを組み込んだのと同じ構造的誤りを、ウェブのmonoculture上で再現している。決定的なCMS(WordPress/PHP/MySQL)の上に、非決定的なLLMを密結合させているのだ。
従来のサイバーセキュリティは決定論を前提として構築されている。特定の入力に対しては、アクセス制御ルールに基づき常に予測可能な出力が返される。しかしLLMに基づくAIエージェントは確率論的なシステムだ。文脈に応じたトークンの確率的予測によって出力を生成する。この非決定論的なエージェントを決定論的なデータベース管理システムに密結合させた瞬間、従来のセキュリティテストの有効性は著しく低下する。
そして致命的な問題がある。AIチャットボットはウェブサイトの訪問者からの入力を直接受け付ける。コメント欄、問い合わせフォーム、チャットウィジェット——これらのすべてが、インターネット全体に開かれたプロンプトインジェクションの入り口になる。
前回の記事で分析したMicrosoftのEchoLeak脆弱性(CVE-2025-32711)を思い出してほしい。攻撃者がHTMLコメントや白文字で悪意あるプロンプトを隠したメールを送り、CopilotのRAGエンジンがそれを読み込むことで乗っ取られた。しかしMicrosoftのケースでは、企業内ネットワークやスパムフィルターを通過して「社内メール」を届ける必要があった。
WordPress+AIでは、世界中の誰でもウェブフォームから攻撃できる。コメント欄に不可視のプロンプトを書き込み、後日AIプラグインがスパムフィルタリングや顧客フィードバックの要約のためにそのテキストを読み込んだ瞬間、AIエージェントの制御は奪われる。AIプラグインはWordPress本体と同等のデータベースアクセス権限を持っているため、乗っ取られたエージェントは管理者パスワードのハッシュ値の抽出、顧客データのダンプ、SEOスパムの大量生成を「正規のプラグインの動作として」実行する。WAFでは検知不可能な「意味論的な時限爆弾」だ。
ここまでWordPressの構造的問題を分析してきたが、本質はWordPressに限定されない。問題の核心はもっと単純だ。
AIエージェントをAdmin権限で常駐させること。これが危険の正体だ。
普通の会社に置き換えて考えてほしい。ある日、全ての部屋の鍵を持ち、金庫の暗証番号を知り、全社員のメールを読め、顧客データベースにアクセスでき、契約書を書き換えられる新入社員が入社する。その社員は24時間オフィスにいて、休まない。そして正面玄関は開けっ放しで、通りすがりの人が何か頼めば、それを実行してしまうことがある。
これが今、WordPress+AIプラグイン、Microsoft 365+Copilot、Shopify+AI、Zapier+AIで起きていることだ。
WordPressではプラグインが管理者と同じ権限でデータベースにフルアクセスする。Copilotはユーザーの全アクセス権限を継承してメール・ファイル・チャットを横断する。どのプラットフォームでも構造は同じ。AIに管理者権限を与え、常駐させ、外部からの入力を受け付ける。
「AIを低権限で使えばいい」「提案だけにすればいい」——こう思うかもしれない。しかしWordPressのプラグインアーキテクチャには権限の分離(サンドボックス)が存在しない。プラグインを入れた瞬間、全権限を渡す。「低権限のAIプラグイン」はWordPressの構造上、作れない。Copilotも同じで、設計上ユーザーの全権限を継承する。
だから「安全に使う」が構造的に不可能なのだ。
この問題が最も深刻になるのがEコマースだ。
WooCommerceは推計650万〜1億2,000万のウェブサイトで稼働している。Eコマースプラットフォームとしては33%〜39%のシェアを持ち、全世界のオンライン小売売上の約28%を占め、年間300億〜350億ドル規模の取引を処理している。
WooCommerceはWordPressのプラグインとして動作する。顧客の氏名、配送先住所、メールアドレス、注文履歴——極めて機密性の高い個人情報が、WordPress本体と同じ単一のデータベースに蓄積される。ここにAIエージェントが導入されると、AIはこのデータベースと直接接点を持つ。
これはクレジットカード業界のグローバルセキュリティ基準であるPCI DSS v4.0.1と根本的に矛盾する。
PCI DSSの要件7は、カード保有者データへのアクセスを業務遂行に不可欠な最小限のエンティティにのみ制限することを要求する。しかし、文脈を理解するために広範なデータを読み込むAIモデルには「知る必要性(Need-to-Know)」という概念が存在しない。AIは文脈ベクトルとしてデータベース全体をスキャンする傾向があり、隔離すべき決済関連データへの不必要なアクセスを事実上行使する。
PCI DSSの要件8は、各ユーザーやプロセスに一意のIDを割り当て、全てのアクションを追跡・監査可能にすることを要求する。しかしプロンプトインジェクションによって不正な払い戻しやデータ抽出が行われた場合、ログには「AIプラグインが実行した」としか記録されない。真の攻撃者を特定する監査証跡が完全に失われる。
加盟店がStripeのようなPCI準拠の外部ゲートウェイを利用し、カード番号自体をサーバーに保存していなくても、サイト環境は決済のフロントエンドとしてPCI DSSのスコープ内に留まる。AIエージェントがEコマースのCMSに密結合されている限り、事業者は自らの手で監査不可能な自律的バックドアを設置しているに等しい。データ漏洩が発生した場合、サイバーリスク保険の免責事項に抵触し、組織を破滅的な財務リスクに晒す。
この問題はWordPressに限らない。Shopify、Wix、SquarespaceなどのSaaS型CMSでもAIエージェントの密結合が進行している。
最も危険なのはZapier、Make(旧Integromat)、n8nにAIを載せた場合だ。メール、CRM(Salesforce等)、決済、SNS、ファイルストレージを一つのエージェントが横断する。さらにMCP(Model Context Protocol)の普及により、AIエージェントが外部サービスへ標準的な手法で直接APIコールを行う能力を獲得している。
OWASP(Open Worldwide Application Security Project)は2026年版の「Agentic Applications向けTop 10」で、この構造がもたらすリスクを明確に分類している。
エージェントの目標ハイジャック(ASI01)——攻撃者が悪意あるテキストを通じてエージェントの意思決定パスを書き換える。カスタマーサポートボットがデータ抽出ツールに変貌する。ツールの悪用(ASI02)——エージェントに付与された正当なツール(CMSのAPI、ファイルの読み書き権限)が、データの外部流出のために不正利用される。メモリとコンテキストの汚染(ASI06)——エージェントのRAGデータベースに悪意あるデータが意図的に混入され、以降のすべての自律的な意思決定が恒久的に汚染される。
そして最も破滅的な結果をもたらすのが、カスケード障害(ASI08)だ。従来のソフトウェアの障害が局所的なクラッシュに留まるのに対し、エージェントAIの障害は自律的に伝播し、フィードバックループを通じて増幅され、人間のオペレーターが介入するよりも遥かに速い速度で連鎖が進行する。
あるWordPressサイトのコメント欄を通じたプロンプトインジェクションで単一のAIプラグインが侵害された場合、その影響はCMS内部に留まらない。侵害されたエージェントは横断アクセスを開始し、接続されたZapierのワークフローを起動してCRM内の全顧客データを消去し、認証された企業メールアカウントから全顧客にフィッシングメールを送信し、Google Drive内のバックアップデータを暗号化する可能性がある。一点突破で全サービスが陥落する。金融システムにおけるCopilot問題と完全に同じ構造だ。
前回の記事で分析したClaude Mythos Previewの能力。すべての主要OSとブラウザで数千のゼロデイ脆弱性を自律的に発見。FreeBSDの17年間潜伏したバグを発見・エクスプロイト。セキュリティに特化し世界で最も堅牢なOSの一つであるOpenBSDの27年間潜伏したリモートクラッシュ脆弱性を発見。自動テストツールが500万回スキャンしても検出できなかったFFmpegの16年来の欠陥を発見。Firefoxのエクスプロイト成功率は前世代の14.4%から72.4%に飛躍した。
現在、Mythosが発見した脆弱性の99%は未パッチのままだ。
このMythosクラスの自律型AIがウェブのmonocultureを標的にした場合、パッチ速度の非対称性が致命的になる。
企業のパッチ適用の中央値は約70日。しかしWordPressの重大な脆弱性が公開されてから大規模な自動化攻撃(マスエクスプロイト)が開始されるまでの時間の中央値はわずか5時間だ。さらに、攻撃者がAIを利用したサイバー攻撃は前年比89%増加しており、初期侵入からラテラルムーブメント(横展開)までの時間は30日から1日未満へと圧縮されている。
70日と5時間。この時間差に、Mythosクラスのゼロデイ発見能力が加わる。数千万行のオープンソースコード(WordPress本体と65,000個のプラグイン)を超高速でスキャンし、人間の研究者なら年単位を要する未知のゼロデイ脆弱性の発見とエクスプロイトチェーンの構築を数時間で完了させる。
金融機関には24時間体制のSOC(Security Operations Center)と閉域網がある。しかしWordPressを利用する数億の中小企業と個人には、専任のセキュリティ担当者がいない。インターネットに直接露出し、WAFは87.8%の確率で攻撃を透過させ、プラグインはサンドボックス化されていない。攻撃されても気づかない。気づいても対応できない。
Mythosクラスのモデルが発見した単一のゼロデイ脆弱性は、瞬時に5億〜6億のサイトに対する攻撃兵器になる。
ここで根本的な問いを立てたい。
WordPressを動的に動かしている理由は何か。分解すると、コメント欄とお問い合わせフォーム。この二つだけだ。
記事を書く——マークダウンエディタで十分。記事を表示する——静的HTMLで十分。画像を管理する——ディレクトリに置くだけ。テーマで見た目を変える——CSSで十分。
コメントは2026年の現実ではほぼ使われていない。議論はX、Reddit、Quora、Discordに移った。残っているのはスパムだけだ。お問い合わせフォームはGoogle FormsやFormspreeで外部化できる。サイトのデータベースに触れる必要がない。
コメントとお問い合わせフォームを外せば、PHP不要、MySQL不要、WordPressが不要になる。残るのは静的HTML+CSS+画像。nginxが返すだけ。攻撃面が消える。PHPの脆弱性は関係ない。SQLインジェクションが不可能。プラグインが実行時に動かないから、64,782件の脆弱性も無関係。プロンプトインジェクションの入り口もない。
MythosクラスのAIがいかに高度なゼロデイ発見能力を持っていても、攻撃可能な動的プロセスが存在しなければ、エクスプロイトは原理的に不可能だ。
5億のサイトが、ほぼ使われていない二つの機能のために、PHP+MySQL+65,000個のプラグインという巨大な攻撃面を抱え続けている。
原則は一つ。AIは開発ツールとして使い、プロダクトの中には入れない。自律型にしない。構造と最終的な判断は人間が行う。
この原則の正しさは、Anthropic自身の開発ツール「Claude Code」が証明している。Claude Codeはターミナル内で動作し、コードベース全体を読み込み、自律的にコーディング、テスト、デバッグを実行する。しかしこの高度に自律的なAIは、本番サーバーで稼働しているわけではない。開発者のローカル環境という隔離された空間でのみ動作する。AIが生成し、人間がレビューし、テストを通過した「決定論的なコード」のみが本番サーバーにデプロイされる。この構造であれば、外部のインターネットからのプロンプトインジェクションが入り込む余地はない。
WordPressに依存しない構成へ移行する。静的サイトジェネレーター(Hugo、Astro、Next.js)、あるいはPythonとnginxによる直接構成。中身を自分で理解できる構成にする。CMSが必要ならAIプラグインは入れない。ECサイトが必要なら、決済はStripeなどの完全に分離された外部サービスへリダイレクトし、AIには決してアクセスさせない。
各機能を小さな自己完結型の単位に分割し、一つが破綻しても他に波及しない疎結合を徹底する。標準的なLinuxのユーザー権限管理を正しく適用し、プロセスをシンプルに分離する。
aiseed.devはこの原則で作られている。開発時はAI(Claude Code)を徹底活用する。しかし稼働中の本番環境はPython+nginx。AIなし、CMSなし。小さな自己完結型の構成。数万円のPC+Linuxでの自律稼働。WordPress不使用、SaaS不使用、Microsoft不使用。この構成には、Mythosが侵入・横展開するための肥大化したアタックサーフェスがそもそも存在しない。
WordPressは便利だった。誰でもウェブサイトを作れるようになった。全員が使った。43%のmonocultureになった。そこにAIを密結合させた。攻撃面が爆発した。
Officeは便利だった。全員が使った。Copilotを密結合させた。金融システムが脆弱になった。
化学肥料は便利だった。全員が使った。土壌の微生物生態系が死んだ。サプライチェーンが止まれば食料が届かない。
全部同じパターン。全部同じ帰結。
「便利」が「必要」にすり替わる瞬間がある。その瞬間を越えると、依存が独占を許し、独占が収益最大化を許し、収益最大化が安全性の軽視を許す。
解は一つの原理に収束する。小さく、自立し、育つものを作る。AIは道具として使い、システムの主体にはしない。自律型にしない。monocultureから離脱する。
これは技術論ではない。来るべきAI時代を生き残るための、文明の設計思想の問題だ。
参考資料