こんにちは、ゼノクリース合同会社の齋藤です。このコラム記事では、最新のWebセキュリティに関する内容を紹介し、企業のサイトを守るための考え方と実践方法をご紹介します。
ゼロデイ攻撃とは?
今回は、ゼロデイ攻撃とは何か、運用担当として日々どこを見ればよいか、そして脆弱性情報をキャッチアップするためのおすすめページを、簡潔に整理していきます。実装の手順や設定の話には踏み込みません。
ゼロデイ攻撃とは、Zero Day という言葉の通り、セキュリティパッチがまだ存在しないうちに脆弱性を突かれる状態を指します。(必ずしも当日中に攻撃されるというわけではないのですが、「その日のうちに」というイメージです)
最近の出来事から見るゼロデイ攻撃
2025 年の 7 月に、皆様にも馴染みのある Microsoft 製品 (SharePoint) でゼロデイが話題になりました。(SharePoint の脆弱性 CVE-2025-53770 に関するお客様向けガイダンス | Microsoft)権限のないユーザーがリモートコードを実行できる可能性があるという、深刻な脆弱性です。
ゼロデイは「セキュリティ対策が不十分なサイトやサービスにのみ起こる、特殊な攻撃」ではなく、エンタープライズ向けの製品でも起こり得るものです。
企業の Web サイトの運用担当として、日々どこを見るか?
WordPress サイトは、世界でかなり多くのシェアを持っている CMS である都合上、さまざまなプラグインをはじめとする脆弱性が頻繁に報告されています。
企業の Web サイトの運用担当として、日々どのようなことに気をつけると良いでしょうか?
やることはシンプルです。まず、一次情報の「見張り場」を決めましょう。日々の運用で使っている CMS やプラグイン、サーバーまわりに関係する公式の情報源を数カ所決めておきます。情報資産の台帳に、どんなプラグインをどんなバージョンで稼働させているかなどを記載して管理しておくと、日々の確認が楽になります。
また、重大度が高い脆弱性の情報を見つけたら、誰(どの部署)にどう伝えるか、この連絡の道筋があるだけで、いざという時の初動の迷いが無くなります。
ここでは、いくつかのおすすめの情報源を紹介します。
Security Advisory for WordPress
プライム・ストラテジー株式会社の Security Advisory for WordPress では、WordPress の脆弱性を日本語でダイジェストし、毎週もしくは臨時で配信しています。
無料で購読できます。また、英語での一次情報を常に取りにいくのは実際大変ではあるので、とりあえず購読してみるくらいでもおすすめできます。
Known Exploited Vulnerabilities Catalog (CISA)
WordPress に限らない脆弱性については、Known Exploited Vulnerabilities Catalog (CISA) がおすすめです。
KEV とは Known Exploited Vulnerabilities の略で、既知の悪用された脆弱性という意味です。こちらの情報源はアメリカ政府サイバーセキュリティ・インフラストラクチャ・セキュリティ庁 (CISA) であり、情報源としてかなり確かなものです。
まとめ
最近は各種生成 AI の Deep Research が大変便利なので、これらの脆弱性のうち、自社に関連しそうなものを深ぼっていくと良いでしょう。
情報収集についてはこの通りなのですが、その後の運用体制の策定には、私もお手伝いしている『Web ガバナンスガイドライン(β 版)』が良い目安になると思います!
こちらも無料でダウンロードできるものなので、ご興味があればぜひお役立てください!
【著者】
ゼノクリース合同会社 代表(Web)
齋藤智樹
在学中から高校や予備校、IT 企業に携わり、講師とソフトウェアエンジニアとして活動。
大学卒業後 (2020年4月〜) はフリーランスエンジニアとして活動を始め、以下のような幅広い業務を行う。2021年3月に、業務を拡大させるためにゼノクリース合同会社を設立。スタディングテックの WEB 開発コース主任講師も務める。
プライム・ストラテジーでは、Web担当者様、IT担当者様などの
お役立ち資料やYouTube動画を公開しています。ご興味ある方はぜひご覧ください。