あなたがWEBサイトの管理者であるなら、パスワードやウイルス対策ソフトの話と並行して見直してほしいのが、エラーページ（Sorryページ）やメンテナンス画面です。
意外かもしれませんが、これらは攻撃の起点になりやすく、Web改ざんやDDoS攻撃と密接な関係があります。一方、「Sorryページ」とよく似た名称で「Sorryサーバー」というセキュリティに関するサーバーの構成要素の１つがあります。この両者の違いについても触れます。

今回は、セキュリティ初級者にもわかるよう、次の4つを順を追って解説します。

• なぜSorryページが危険なのか
• 改ざんとDDoS攻撃の実例と流れ
• Sorryサーバーとは何か？なぜ必要か？
• 企業が今から実践できるセキュリティ対策

1. Sorryページが“情報漏れ”の入り口になる

Sorryページとは、エラーやメンテナンス時に表示されるページの総称です。
代表例：

• 404 Not Found（ページが存在しない）
• 403 Forbidden（アクセスが許可されていない）
• 500 Internal Server Error（サーバー側の異常）
• 503 Service Unavailable（一時的に利用不可、メンテナンス中）

これらは本来、「ユーザーに状況を伝えるための画面」ですが、作りが甘いと攻撃者への「情報提供ページ」になってしまいます。

実際にありがちな例：
ページが存在しない時に表示される「NotFound」ページ

404 Not Found
/home/www/html/wp-content/themes/corp/page.php が見つかりません。
Apache/2.4.53 Server at www.example.com

　
この情報だけで、攻撃者はこう推測できます：

• WordPressを使っている
• テーマの構成が把握できる
• サーバーのバージョンに既知の脆弱性があるか確認できる

つまり、Sorryページから攻撃の足がかりが生まれてしまうのです。

2. 改ざんやDDoS攻撃とどうつながるのか？

Web改ざんの入口になるパターン

• SorryページからCMSや構成情報を収集
• 古いプラグインやテーマの脆弱性を調査
• 管理画面やFTPへの不正アクセスを試行
• 改ざんされたページに悪質なコードが挿入される
• ユーザーを偽サイトへ誘導 or SEO汚染が発生

とくにWordPress系サイトでは、テンプレートファイル（404.phpなど）自体が改ざん対象になり、ユーザーに気づかれずに不正広告やフィッシングが仕込まれるケースもあります。

DDoS攻撃による「見せ方崩壊」

DDoS（分散型サービス拒否）攻撃は、大量アクセスを一斉に浴びせ、サーバーをダウンさせる攻撃です。
このとき、

• SorryページがCMS経由で生成されている
• 動的に重い処理をしている
• ログイン画面や余計な情報が表示される

といった状態だと、負荷が増幅し、攻撃を助けてしまうことも。

3. SorryページとSorryサーバーの違いとは？

多くのWebサイトには、ページが見つからない時やメンテナンス中に表示される「Sorryページ（お詫びページ）」が存在します。これはユーザーに状況を伝えるための画面レベルの仕組みであり、主にHTMLやテンプレートで構成されます。

一方で「Sorryサーバー」は、それとはまったく別物です。

Sorryサーバーとは、本番のWebサーバーとは別に用意された、障害時専用の静的な代替サーバーのこと。Webサーバーに障害が発生したり、DDoS攻撃で負荷が限界を超えたとき、自動的にこのSorryサーバーに切り替えることで被害の拡大を防ぎます。

▼ 違いをまとめると：

• Sorryページ：
  通常のWebサーバー内にあるテンプレートやHTMLファイル。CMSの一部として動作。
  アクセスエラーやメンテ時に表示されるページ単位の処理。
• Sorryサーバー：
  本番とは別に構築された静的Webサーバー。障害時にルーティングを切り替えて使用。
  サーバー全体が落ちても“最低限の案内”をユーザーに返す独立構成。

構成イメージ

• 通常時：CMSが稼働するWebサーバーでコンテンツ配信
• 異常時：ロードバランサーやCDNがSorryサーバーへ自動切り替え
  → 軽量な静的HTMLのみを返し、余計な処理は一切しない

Sorryサーバー導入のメリット

• 静的なためDDoSに非常に強い
• 動的処理がなくサーバー負荷を最小化
• 攻撃者に技術的ヒントを一切与えない構成にできる
• メンテ中でも信頼性と誠実さを保った対応が可能

Sorryページはユーザー向けの「見せ方」であり、Sorryサーバーはシステムレベルの「守り方」です。両者を併用することで、Webサイトのセキュリティと信頼性は大きく高まると言えます。

4. 企業が今すぐできるセキュリティ対策

Sorryページの改善ポイント

• ファイル名・構成情報は表示しない
• ステータスコード（404/503など）は正確に返す
• CMSで生成せず、できるだけ静的HTMLにする
• 問い合わせ先・トップページへのリンクだけに絞る

改ざん・DDoSへの基本対策

• WordPressなどのCMSは常に最新バージョンへ更新
• 管理画面にIP制限（社内からのみアクセス可能に）
• WAFの導入（クラウド型・アプライアンス型どちらでも可）
• ファイル改ざん検知ツール（例：Wazuh、AIDE、F-PAT）を導入
• バックアップと復旧手順を明文化・定期テスト

Sorryサーバーの導入を検討

• 静的HTMLでデザインした軽量なSorryページを別サーバーに設置
• 異常検知時は自動でSorryサーバーにルーティング切り替え
• たとえばCDN（Cloudflare等）＋静的ホスティング（S3、Netlifyなど）で構築可

見せない設計と「もしも」への備えが信頼を守る

Webセキュリティの基本は、「そもそも入られないようにすること」です。
ファイアウォール、脆弱性対策、強固な認証など、技術的な防御は当然必要です。
ただ、それだけでは十分とは言えません。

攻撃者に余計なヒントを与えない設計──たとえばSorryページの簡素化や構成情報の秘匿。
万一入られた場合に備えた対応──改ざん検知、ログ管理、Sorryサーバーの運用。
これらを組み合わせておくことが、被害の拡大を防ぎ、企業としての信頼を守る鍵になります。
まずは、自社サイトの「見え方」「エラーの扱い」「ダウン時の対応」に目を向けるところから。
それが、攻撃されても慌てずに済む、堅実なセキュリティ体制への第一歩です。