お問い合わせ
お問い合わせ

HOME  >  トピックス  >  自治体サイトの改ざん対策と検知|WordPress担当者が今すぐ見直すべき設定と運用

トピックス : WEBサーバー監視サービスF-PAT【ファイルパトロール】

2026年5月13日(水)

自治体サイトの改ざん対策と検知|WordPress担当者が今すぐ見直すべき設定と運用

1. 「うちは小さな自治体だから大丈夫」と思っていませんか?

総務省が公表するセキュリティインシデント報告によると、地方自治体のWebサイトを標的にした不正アクセス・改ざん被害は増加傾向にあります。その多くはWordPressをはじめとするCMSの脆弱性を突いたものです。攻撃者は「狙いやすいサイト」を自動スキャンで探しており、知名度や規模は関係ありません。セキュリティ設定が甘ければ、人口1万人の自治体も大都市と同じリスクにさらされています。

自治体サイトが改ざんされた場合、民間企業とは比較にならないダメージが発生します。

住民への直接被害

改ざんされたページがマルウェアの配布ページに変わり、サイトを訪問した住民の端末がウイルスに感染するケースがあります。「自治体の公式サイトだから安全」という住民の信頼を逆手に取られる点が特に深刻です。

行政手続きへの影響

電子申請フォームや各種案内ページが書き換えられると、住民が誤った情報をもとに手続きを行うリスクがあります。給付金申請や各種届出のページが偽ページに差し替えられた事例も報告されています。

報道・議会対応の負担

情報セキュリティインシデントは即報道案件になります。「なぜ気づかなかったのか」「対策は十分だったか」という議会での説明責任が生じ、担当課の業務を圧迫します。改ざんの発見が遅れるほど、説明のための資料作成や対応コストは膨らみます。

検索エンジンへの長期的影響

Googleはマルウェアを配布するサイトを「危険なサイト」として警告表示します。一度この警告が出ると、解除後も検索順位の低下が続き、住民がサイトにアクセスしにくい状態が長期間続きます。

攻撃を100%防ぐことは不可能です。だからこそ、「改ざんをいち早く検知し、被害を最小化する体制」が自治体のWeb運営に不可欠です。

▼ 担当者が今すぐ確認すべきこと

  • 自サイトがGoogle Search Consoleに登録されているか(セキュリティ問題の通知を受け取れる状態か)
  • 直近6ヶ月以内にWordPress本体・プラグイン・テーマを更新したか
  • 前任担当者から引き継いだセキュリティ設定の内容を把握しているか

2. なぜ自治体のWordPressサイトが狙われるのか

WordPressは世界シェアNo.1のCMSであり、自治体サイトにも広く採用されています。しかしその普及率ゆえに、攻撃者にとっては効率の良いターゲットになります。「多くのサイトが同じ脆弱性を持っている」という状況は、自動化された攻撃ツールにとって好都合だからです。

① プラグイン・テーマの脆弱性

有名プラグインに脆弱性が発見されると、セキュリティ研究者による公開と同時に、攻撃ツールによる自動スキャンが世界規模で走り始めます。パッチ(修正アップデート)の適用が数日遅れるだけで、被害に遭う可能性が急上昇します。

自治体サイトでよく見られるのが、「制作会社に一任したまま更新が止まっている」状態です。委託契約が切れた後、誰も更新しないまま数年が経過しているケースも珍しくありません。

実務Tips:プラグインの棚卸し手順

  1. WordPress管理画面の「プラグイン」一覧を開く
  2. 「最終更新」が2年以上前のプラグインをリストアップ
  3. 使っていないプラグインは即削除(無効化だけでは不十分)
  4. 更新が止まっているプラグインは代替品への移行を検討

② 管理画面への総当たり攻撃(ブルートフォース)

WordPressの標準ログインURLは /wp-login.php で固定されており、攻撃者はこのURLに対して大量のID・パスワードの組み合わせを試す総当たり攻撃を仕掛けます。「admin」「password」のような単純な認証情報が設定されていると、あっという間に突破されます。

自治体のサイト担当者が複数いる場合、前任者が作ったアカウントが残ったままになっていることも多く、これが侵入口になります。

実務Tips:ログイン保護の確認チェックリスト

  • 管理者ユーザー名が「admin」になっていないか
  • ログインURLがデフォルト(/wp-login.php)のままになっていないか
  • 退職・異動した職員のアカウントが残っていないか
  • ログイン試行回数の制限(ロックアウト機能)が設定されているか
  • 管理者アカウントに二段階認証が設定されているか

③ 担当者交代による運用の断絶

自治体特有の課題として、定期的な人事異動による担当者交代があります。セキュリティ設定の引き継ぎ資料が存在しない、あるいは引き継ぎを受けた担当者がWordPressの操作自体に不慣れなケースは非常に多く見られます。

「前任者が設定してくれているはず」という思い込みのまま運用が続き、実際には何の保護も設定されていなかったという事例は後を絶ちません。

実務Tips:引き継ぎ資料に必ず記録すべき項目

  • WordPress管理画面のログインURL(変更している場合)
  • 利用中のプラグイン一覧と用途
  • バックアップの取得方法と保存先
  • 改ざん検知ツールの通知先メールアドレス
  • インシデント発生時の連絡フロー(誰に・何を・どの順番で)

3. まず押さえておきたいWordPressセキュリティの基本

セキュリティ対策は「一度設定して終わり」ではなく、担当者が変わっても維持できる仕組みが重要です。技術的に難しいことは多くありません。まず以下の3点を確認・実施してください。

① 管理画面の保護

ログインURLをデフォルト(/wp-login.php)から変更し、役所の固定IPからのみアクセスを許可します。管理者アカウントには二段階認証を設定し、退職・異動した職員のアカウントは速やかに削除します。

② ファイル編集の無効化

wp-config.phpdefine('DISALLOW_FILE_EDIT', true); を追加するだけで、万が一管理画面に侵入された際のファイル改ざんリスクを大幅に下げられます。

③ 自動アップデートの有効化

WordPress本体・プラグイン・テーマの自動更新をオンにします。担当者が不在の時期でもセキュリティパッチが自動適用される体制をつくることが、自治体では特に重要です。

なお、総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」でも、Webサイトの継続的な監視・点検が求められています。上記の設定はガイドライン対応の基本事項でもあり、実施状況を記録しておくことで情報セキュリティ監査にも役立ちます。

4. それでも改ざんは起きる。だから「検知」が必要です

3章で紹介した設定はどれも有効な対策です。ただ、どれだけ設定を固めても「絶対に侵入されない」環境はつくれません。新たな脆弱性は毎日のように発見されており、攻撃手法も日々進化しています。

だからこそ必要なのが、「侵入されても素早く気づける」仕組み——改ざん検知です。

特に自治体サイトにとって深刻なのは、改ざんに気づくまでの時間の長さです。

発見が遅れるほど被害は拡大する

改ざんが発生してから発見されるまでの時間が長いほど、あらゆる被害が広がります。

  • マルウェアに感染した住民の数
  • Googleに「危険なサイト」として認定されている期間
  • 改ざんコンテンツが検索結果にキャッシュされ続ける時間
  • 報道・議会対応に費やす担当者の工数

過去に発生した自治体サイトの改ざん事例では、発生から発見まで数日~数週間かかったケースが複数報告されています。そして多くの場合、気づいたのは担当者ではなく「住民からの問い合わせ」でした。

「住民から言われて初めて気づく」状態は、セキュリティ対策とは呼べません。

改ざん検知の3つの手法と限界

① ファイル監視(最も重要) サーバー上のファイルのハッシュ値(指紋のようなもの)や更新日時を定期記録し、変化があった際に通知します。外部からは見えないサーバー内部のファイル改ざんを検出できる唯一の手法であり、改ざん検知の中核です。監視間隔が短いほど早期発見につながります。

② ページ内容のモニタリング 公開ページのHTMLを定期巡回し、不審なスクリプトや外部リンクの混入を確認します。ファイル自体は変更されていなくても、データベース経由でコンテンツが書き換えられるケース(SQLインジェクション等)への対応に有効です。

③ 外部スキャン(Google Safe Browsing連携) 外部のマルウェアデータベースと照合して感染を検出します。ただし「すでに登録されたマルウェア」しか検出できないため、新しい攻撃手法への対応には限界があります。単独での運用は避け、①②との組み合わせが前提です。

これらをゼロから自前で構築・運用することは、自治体の担当者にとって現実的ではありません。専用の改ざん検知サービスを活用することが、最もコスト効率の良い選択肢です。

改ざん検知サービスを選ぶ際の4つのポイント

自治体の実情に合ったサービスを選ぶため、以下の観点で比較してください。

確認ポイント なぜ重要か
監視間隔の短さ 1時間ごとと24時間ごとでは、被害規模が大きく変わる
通知の確実性 メール・チャットツール等への即時通知が必須
監視対象の広さ 公開ファイル全体をカバーできるか
操作の簡便さ 担当者が変わっても運用できるUIか

導入後に必ず決めておくべき「インシデント対応フロー」

改ざん検知ツールを導入しても、「通知が来たらどうするか」が決まっていなければ意味がありません。以下のフローを事前に文書化し、担当者全員で共有しておくことが重要です。

【改ざん検知時の対応フロー例】

1. 検知通知受信(メール・チャット)

2. サイトを一時停止または表示制限(被害拡大防止)

3. 改ざん箇所の特定(検知ツールのレポートを確認)

4. バックアップからの復元

5. 侵入経路の特定と脆弱性の修正

6. サイト公開再開

7. 上長・関係部署への報告、再発防止策の検討

このフローは情報セキュリティポリシーの一部として整備しておくことで、監査対応にも活用できます。

夜間・休日の改ざんにどう対応するか

自治体サイトへの攻撃は業務時間外に集中する傾向があります。「月曜朝に出勤して初めて気づく」では、週末の2日間ずっと住民がマルウェア配布ページにアクセスし続けていたことになります。

夜間・休日対応のために整備しておきたい設定は以下のとおりです。

  • 検知通知をスマートフォンのメールに転送する設定
  • Microsoft Teams・Slackなどチャットツールへの通知連携
  • 緊急時の対応担当者(ローテーション)を事前に決めておく
  • バックアップからの復元手順を担当者が一人でも実施できる状態にしておく

特に「バックアップ」は改ざん検知と同じくらい重要です。検知できても戻すべき正常なバックアップがなければ、復旧には数倍の時間がかかります。定期的なバックアップ取得と、その保存先・復元手順の確認を合わせて整備してください。

5. まとめ|「改ざん検知」は自治体Web運営の必須インフラ

自治体のWebサイトは、住民にとって行政の窓口です。その信頼性を守るために、WordPressセキュリティ設定の整備と改ざん検知の導入は、もはやオプションではなく必須インフラと言えます。

対策のポイントは2つです。

  1. 防御:管理画面保護・パーミッション設定・自動更新の徹底
  2. 検知:ファイル監視を軸にした24時間体制の改ざん検知サービス導入

そして、これらを「担当者が変わっても回る仕組み」として整備することが、自治体における持続可能なセキュリティ対策です。まず今日、「プラグインの更新状況」と「管理者アカウントの棚卸し」だけでも確認してみてください。

F-PATなら自治体でも即日導入可能

改ざん検知サービス「F-PAT(ファイルパトロール)」は、公開ファイル最大10万件を最短1時間ごとに監視。改ざんを検知したらメールで即時通知します。複雑な設定は不要で、専門知識がなくても運用できます。担当者が異動で変わっても、引き継ぎの手間なく継続運用が可能です。

まずは1ヶ月無料トライアルでお試しください。

▶ 無料トライアルに申し込む ▶ 資料をダウンロードする

関連記事
▶ 放置は危険!WordPressを守る改ざん検知と必須セキュリティ設定