心当たりがまったくないのに、突然ブラウザの画面に「WordPressプラグインの脆弱性」なんて不穏な通知が表示されたら、誰だって心臓がバクバクしてしまいますよね。
僕もネットの話題を追いかけるのが好きですが、2026年現在、こうした「使っていないはずのツール」に関する警告に困惑している人が増えているように感じます。
ましてや自分がブログを運営していないのであれば、なおさら「え、なんで?」と首を傾げてしまうのも無理はありません。
まずは落ち着いて、今僕たちのブラウザで何が起きているのか、その背景を整理してみることにしましょう。
ChromeのAIモードとは?
2026年現在、Google Chromeには「Gemini Nano」と呼ばれる高度なオンデバイスAIが標準搭載されるようになり、僕たちのブラウザ体験は劇的に変化しました。
このAIモードは、ページの内容をリアルタイムで分析してフィッシング詐欺やマルウェアを検知し、ユーザーを守ってくれる非常に心強い存在です。
特にSafe Browsing機能が強化されたことで、不審なサイトに足を踏み入れた瞬間にAIが「このサイトは危険ですよ」と警告を出してくれるようになりました。
しかしここで一つ覚えておいてほしいのは、このAIが特定の個人に対して「あなたが使っているWordPressのプラグインに穴がありますよ」とピンポイントで通知する仕組みはないということです。
AIはあくまで一般的なWebの脅威から僕たちをガードしてくれるもので、WordPressを利用していないあなたの環境に紐づいて個別に警告を送ることはありません。
つまり、もしWordPressを使っていないのにそうした通知が届いたのなら、それはAIによる正規のセキュリティ通知ではない可能性が非常に高いと言えます。
WordPressプラグインの脆弱性・乗っ取り悪用|Chrome AIモード通知
■通知が届く主な原因と詐欺の影
WordPressと無縁の生活を送っているあなたに通知が届く理由として、まず考えられるのは「ニュースアプリの速報」という平和なパターンです。
もしスマホにSmartNewsやGunosy、あるいはIT系のニュースメディアのアプリを入れているなら、それは単に「今、世界でこんな深刻なセキュリティニュースがありました」という一般ニュースを知らせてくれただけかもしれません。
最近では2026年1月に「Modular DS」というプラグインで4万サイト以上に影響が出る深刻な脆弱性が報告され、大きなニュースになりました。
この場合は、あなたがWordPressを使っていなければそのまま無視してしまって何の問題もありません。
しかし、もしブラウザの画面にポップアップとして表示されたのであれば、それは「フィッシング詐欺」や「偽の警告」である可能性を疑うべきです。
攻撃者は侵害したWebサイトにJavaScriptを仕込み、訪問者に対して「あなたのWordPressに脆弱性があります、今すぐ更新を」といった偽の通知を表示させることがあります。
こうした通知を不用意にクリックしてしまうと、マルウェアをダウンロードさせられたり、大切なパスワードを盗み取る偽サイトへ誘導されたりする危険があります。
また、稀なケースですが、過去に作った放置サイトや会社の管理サイトなどで無意識にWordPressに関わっている可能性もゼロではありません。
心当たりがある場合はそちらも確認すべきですが、基本的には身に覚えのない通知は「罠」だと思って接するのが正解だと僕は考えています。
WordPressプラグインの脆弱性・乗っ取り悪用|対処法
■今すぐ実行すべき対処法
もし怪しい通知を受け取ってしまったら、まずはその通知を徹底的に「無視」することが最大の防御になります。
絶対に通知内のボタンを押したり、ましてやIDやパスワードを入力したりしないでください。
次に、Chromeの設定画面(chrome://settings/content/notifications)を開いて、不審なサイトからの通知許可がオンになっていないか確認し、怪しいものはすべてブロックしてしまいましょう。
最近ではAI機能を謳った便利な拡張機能に悪意のあるプログラムが仕込まれているケースもあり、2025年には数百万人のデータが盗まれる事件も起きています。
身に覚えのない、あるいは最近インストールしたAI関連の拡張機能があれば、思い切って削除してみるのも一つの手です。
ブラウザを常に最新の状態にアップデートしておくことも忘れないでください、脆弱性を突く攻撃は常に進化していますから。
もしどうしても不安が拭えないのであれば、ブラウザのキャッシュをクリアして、信頼できるウイルス対策ソフトでスキャンをかけると安心できるはずです。
セキュリティの基本は「怪しいものには触れない」こと、これに尽きると僕は常々感じています。
警戒すべき他のWordPressプラグインの脆弱性
WordPressの世界では、日々新しい脆弱性が発見されており、2026年1月には「Modular DS」というプラグインで管理者権限を奪われる恐ろしい欠陥が見つかりました。
これはCVSSスコアが10.0という最大級の危険度で、未認証の攻撃者が簡単にサイトを乗っ取れてしまうというものでした。
過去には「Post SMTP」という40万サイト以上で使われているプラグインでも、メールログからパスワードを盗まれる深刻な事件が起きています。
ほかにも「Elementor」や「AI Engine」といった人気プラグインが標的になることもあり、攻撃者はこうした実在する脆弱性の名前を騙って僕たちを騙そうとしてきます。
偽のセキュリティアドバイザリをメールで送りつけ、修正パッチに見せかけたマルウェアをインストールさせる手口も巧妙化しています。
世の中でどんな脆弱性が騒がれているかを知っておくことは大切ですが、それを理由に自分に届いた通知をすべて信じてしまうのは危険です。
自分がWordPressの管理者でない限り、こうしたニュースは「遠い国の出来事」として捉えておくのが、精神衛生上も良いのかもしれません。
まとめ
■最後に伝えたいこと
インターネットの世界は便利になる一方で、僕たちの不安を煽って騙そうとする手口もどんどん巧妙になっていますね。
「WordPressを使っていないのに通知が来た」という今のあなたの状況は、まさにそうしたネットの歪みが形になったものと言えるでしょう。
でも大丈夫です、仕組みを正しく知って、冷静に対応すれば怖いことは何もありません。
大切なのは、画面に表示される言葉を鵜呑みにせず、一歩引いて「これっておかしくない?」と疑う勇気を持つことです。
これからも新しいAI技術や便利なツールが登場するでしょうが、最後に自分を守るのは自分自身の冷静な判断力です。
この記事が、あなたの不安を少しでも解消する手助けになれば、これ以上に嬉しいことはありません。
どうか安全で快適なネットライフを楽しんでくださいね。
