GMOインターネットグループのGMOプライム・ストラテジー株式会社(代表取締役 吉政 忠志、本社所在地:東京都千代田区、以下「GMOプライム・ストラテジー」)は、東証上場企業3,941社を対象に、国内初の大規模Web技術調査「日本上場企業Webサイト技術調査 第1回」を実施しました。 その結果、Web管理上のリスクは企業の「公式サイト」よりも、リクルートサイトやグループ会社サイトなどの「関連サイト」に集中している実態が明らかになりました。WordPress採用サイト9,019件のうち、1,007件では、ログイン攻撃を受けやすい3条件が同時に成立。またWeb基盤ソフト「PHP」の70.1%がサポート終了済みのバージョンで稼働していました。 本調査を通じて、Webサイト管理はIT部門だけの問題ではなく、経営・広報・マーケティングを含めた組織横断のガバナンス課題であることが明らかになりました。 【調査概要】 調査名称 日本上場企業 Webサイト技術調査 第1回 調査期間 2026年4月9日~2026年4月12日 調査対象 東証上場企業3,941社(ETF・REIT・出資証券を除く)の公式・グループ・関連Webサイト 分析対象 正常に応答を確認できた24,995サイト(全26,643件中93.8%) 計測方法 HTTP(S)応答情報およびHTMLコンテンツの自動解析。コアウェブバイタル計測はGoogle PageSpeed Insights API v5 を使用 【調査結果サマリー】 ① ログイン攻撃のリスク条件が同時成立したWordPressサイトを1,007件確認 管理画面公開・ログインID外部公開・古い外部連携機能の有効化の3条件が同時成立。公式サイトより、グループ・関連サイトで条件成立率が高い ② 公式サイトに比べ、グループ・関連サイトに管理格差 管理画面無保護率、サーバー応答速度、HTTPS対応率など複数の指標で、公式サイトよりグループ・関連サイトの管理水準が低い傾向を確認 ③ CMSが特定できたサイトの81.0%がWordPressを採用 上場企業関連サイトにおける、圧倒的なシェア。蓄積された豊富な開発ノウハウと、対応できる制作会社やエンジニアの層の厚さが大きな強み。一方で、その高い普及率ゆえに、サイバー攻撃の対象になりやすいという側面も。これらを背景に、安全な運用を維持するための、定期的な本体・プラグインのアップデートおよび強固なセキュリティ対策との組み合わせが前提となる。 ④ PHP・CMSの更新運用に遅れ 外部から確認可能なPHPの70.1%がサポート終了バージョン。WordPressの最新マイナーパッチも23.2%が未適用 【1. ログイン攻撃のリスク条件が同時成立したサイトが1,007件】 WordPressを採用するサイトの中には、攻撃者がログイン試行を行いやすい状態となる以下の3条件が同時に確認されるケースがありました。 · 管理画面がインターネット上に公開されている(誰でもログイン画面にアクセス可能) · ログインIDがREST API(*1)経由で外部から取得可能(攻撃者がユーザー名を特定できる) · 古い外部連携機能(xmlrpc.php(*2))が有効である(総当たり攻撃の効率を高める仕様が残存) これらはそれぞれが単独でもリスク要因ですが、複数が重なることで攻撃の効率や成功可能性が大きく高まります。WordPress採用9,019サイトのうち、3条件が同時に成立していたのは1,007サイト(11.2%)にのぼります。内訳を見ると、公式サイトは9.0%、グループ・関連サイトは11.6%と、グループ・関連サイトの方が高い水準でした。次の2.で示す管理水準の差が、ログイン攻撃の具体的リスクとして表れているといえます。 (*1)REST API:Webサーバー上のデータや機能を外部から呼び出して利用するための簡潔な仕組み(規約)です。 URLにアクセスする感覚で、データの取得や追加・削除などを標準的な形式(JSONなど)で効率よく行えます。 (*2)xmlrpc.php : WordPressなどのシステムが外部アプリケーションや他のブログと通信(自動投稿やピンバックなど)を行うためのプログラムファイルです。 XML形式のデータを使って遠隔操作できる便利な機能ですが、近年はサイバー攻撃(不正アクセスやDDoS攻撃)の標的になりやすいことでも知られています。 【2. グループ・関連サイトに顕在化する管理格差】 分析対象24,995サイトのうち、公式サイトは3,754件、グループ・関連サイトは21,241件でした。両者を比較すると、複数の指標で管理水準の差が確認されました。 指標 公式サイト グループ・関連 差