概要
WordPressセキュリティ企業Patchstackの創業者、オリバー・シルド氏は、WordPress 7.0におけるAI APIキーのセキュリティに強い懸念を表明しました。同氏は、ハッカーによるAPIキー盗難が急増するだろうと警告しています。
実際に、WordPress 7.0でAPIキーを露出させるセキュリティバグが発見されました。
AI APIキーは、WordPressのプラグインやテーマがClaude、OpenAI、GeminiなどのAIと連携するために使用する安全なパスワードです。これらはAI企業がシステム利用料を課金するために使用され、数万ドルの価値がある非常に貴重な資産となり得ます。
ハッカーは盗んだAI APIキーを利用して、ソーシャルメディアや出会い系アプリでターゲットと何千もの会話を行うAIボットネットワークを構築します。また、大規模なフィッシングキャンペーン、マルウェア作成、WordPressサイトのAI実装に接続された機密データへのアクセスにも使用されます。
シルド氏は、ウェブサイトが大規模言語モデルや有料AI APIとますます接続されるにつれて、WordPressの脆弱性が攻撃者にとって「はるかに価値の高いものになる」と警告しています。
一方、WordPress共同創設者のマット・マレンウェッグ氏は、ほとんどのWordPressサイトは安全であると主張し、20年以上ハッキングされていないサイトを運営していると述べ、広範なサイトが安全でないという見解に反論しました。
新たに報告されたWordPress 7.0のセキュリティバグは、AI連携設定フォームにおけるAI APIキーの露出に関するもので、ブラウザの自動入力機能によってキーがブラウザウィンドウに表示されてしまいます。これにより、画面共有時、共有PC上、またはアクティブなブラウザセッションにアクセスできる人物に資格情報が露出する可能性があります。
GitHubの公式レポートによると、APIキーフィールドが安全なパスワードフィールドのように振る舞わず、以前入力された値が候補として平文で表示されるのが問題とされています。
シルド氏は、AI連携がWordPressサイト悪用の経済学をどのように変えるかについても懸念を提起しました。AIに接続されたWordPressサイトは、貴重なAIサービスやAPI認証情報へのアクセスが含まれるため、これまでよりもはるかに魅力的な標的となると予測しています。
他の開発者も議論に参加し、WordPressが秘密情報、プラグイン権限、データベースアクセスをどのように扱うかといった、より広範なソフトウェアアーキテクチャ上の懸念に話を広げました。
WooCommerceの開発者アドボケイトであるブライアン・コーズ氏は、WordPress自体を再設計せずにAPIキーを分離する現実的な方法があるかを検討しましたが、任意のPHP実行が問題を解決することを困難にしていると指摘しました。
WordPressのプラグイン信頼モデルは、ウェブサイトがAI認証情報や自動化システム、サードパーティLLMサービスと直接接続される以前に設計されたものでした。
WordPress 7.0がデフォルトで安全でないわけではありません。適切に管理されたWordPressサイトは安全を保つことができますが、定期的な更新だけではハッキングを確実に回避できるわけではありません。Patchstackの報告によると、ハッカーは脆弱性が発見されてからサイトオーナーが更新を行うまでの短い期間を悪用するため、攻撃速度を加速させています。
多くのサイトオーナーは、APIキーの仕組みやその使用が無料ではないことを認識していません。WordPressサイトでAIを使用することは、数千ドル相当のAI利用料の盗難につながる可能性があります。機密情報を盗む必要のないサイトでさえ、AIキーを使用してメタディスクリプションの生成やサイト構築支援などのタスクを行う場合、貴重なターゲットになり得ます。
解説
今回の記事は、AI APIキーがWordPressサイトのセキュリティランドスケープを根本的に変える可能性を示唆しており、サイトオーナーにとって非常に重要な警告です。AI APIキーは単なるウェブサービスのパスワードではなく、高額な利用料金が発生する「資産」であるという認識を持つことが不可欠です。
特に、WordPress 7.0で発見されたブラウザの自動入力に関するバグは、物理的なアクセスや画面共有時など、思わぬ形でキーが露出するリスクを浮き彫りにしています。サイトオーナーは、APIキーの入力時や管理方法について、安全なパスワード管理と同等、あるいはそれ以上の注意を払う必要があります。
現在のWordPressのアーキテクチャは、AIサービスとの連携や経済的価値のあるAPIキーの存在を前提として設計されていません。このため、プラグインの脆弱性からAPIキーが漏洩するリスクが高まっていると考えられます。特に、データベースへのアクセス権限を持つプラグインの脆弱性は、サイト全体の安全性を脅かす可能性があります。
サイトオーナーは、使用するプラグインやテーマが信頼できるものであるか、定期的に更新されているかを常に確認する必要があります。また、不要なプラグインは削除し、必要なもののみをインストールすることが基本です。APIキーを直接データベースに保存するような安易な方法は避けるべきであり、可能であれば環境変数や専用のシークレット管理サービスを利用することも検討する価値があります。
WordPressの共同創設者であるマット・マレンウェッグ氏の「ほとんどのサイトは安全」という主張も理解できますが、AI時代の新たな脅威においては、これまでの「通常のセキュリティ対策」だけでは不十分になる可能性があります。
セキュリティパッチの適用を迅速に行うことはもちろんですが、APIキーのような高価値な資格情報を扱う際は、ブラウザの自動入力機能の使用を避け、極力手動で入力するか、専用のパスワードマネージャーを用いるなど、より慎重な運用が求められます。
最終的に、WordPressサイトのオーナーは、AI APIキーを導入することで、これまで以上に「金銭的な価値のあるターゲット」になっているという事実を認識し、それに見合ったセキュリティ対策を講じる必要があります。これは、サイトの規模に関わらず、すべてのWordPressユーザーにとって喫緊の課題と言えるでしょう。
- 掲載元: Search engine journal
- 公開日: 2026-05-22T10:37:43+00:00
