X(旧Twitter) 
Facebook 
LINE 
投稿日:2026.05.01 最終更新日:2026.05.01
【脆弱性は大丈夫?】AI制作サイトほど注意が必要!セキュアなサイトを目指すためには何を行えばいい?
「AIで作ったサイト、デザインもきれいだしちゃんと動いてる。これで大丈夫だよね?」
実はその感覚がとても危険です。
たとえば、新しくオープンしたお店を思い浮かべてください。外観はきれいで、照明もついていて、お客さんも入れる。でも裏口の鍵がかかっていない、金庫の暗証番号がメモに書いて貼ってある、バックヤードは誰でも入れる状態——そんな状態でも「店は動いている」わけです。
Webサイトのセキュリティ問題は、まさにこれと同じです。見た目が整っていることと、安全であることは、まったく別の話です。
AIコーディングは「とにかく動くコードを作る」ことを優先します。セキュリティ面の配慮「このドアに鍵をかけておく」「この情報は外から見えないようにする」といった処理は、後回しになりやすい構造があるんです。
まず押さえたいのは、AIコーディングで作ったWebサイトで起きやすい脆弱性3パターンです。
本記事では、「AIで作ったサイトって安全なの?」という気になる疑問に回答していきます!
この記事でわかること
- そもそもAIで制作したサイトは安全?
- APIキー漏洩・認証不備・フォーム処理の不備が起きる仕組み
- 今すぐ自社サイトで確認できる最低限のセキュリティ設定
- 設定では防げない脆弱性に、専門家診断が必要な理由
この記事を書いた人
みらいと
セキュリティサービス事業部 コンサルタント/プログラマーからシステム運用を経て情報セキュリティ全般の業務に従事。現在は培った情報セキュリティの経験を活かしお客様の課題に向き合った企画やマーケティングを担当。
目次
【結論】AIで作成したサイトこそ、脆弱性が残りやすい!
「AIのツールが作ったんだから安全では?」という疑問は、多くの担当者が持つ自然な感覚だと思います。
ただ、結論から言うと、AIコーディングツールが生成したコードでも脆弱性は起きます。
AIは「とにかく動くものを作る」ことが得意なツールです。言い換えれば、腕のいい大工さんが「とにかく早く家を建てて」と言われたら、外壁はきれいに仕上げるけど、内部の防火処理を省いてしまうことがあるのと似ています。
動作確認はできる。でも『見えないところに問題が潜んでいる』——AI制作サイトの脆弱性は、この「見えないところ」に多く存在します。
これはAIモデルの精度が低いということではなく、「まず動くものを」という設計思想から来る“構造的な問題”です。
AIで作成したサイトは、どんな脆弱性が起きやすい?
AIコーディングで作ったサイトには、特有の脆弱性パターンが3つあります。
それぞれ「なぜ起きやすいか」を、日常に置き換えてイメージしながら見ていきましょう。
- APIキー漏洩:外部サービスへの「合言葉」がコードに丸ごと書かれたまま外に出てしまう
- 認証不備:ログインが必要なはずのページが、URLを知っていれば誰でも見られてしまう
- フォームの不備:問い合わせフォームが悪意ある命令を素通りさせてしまう
①:APIキー漏洩…「合言葉」がメモされたまま外に出てしまう
まず「APIキー」とは何か?というところから簡単に解説します。
たとえば問い合わせフォームの送信データをCRM(営業管理ツール)に自動で反映させたい場合、サイトとCRMの間でやり取りをするための「合言葉」が必要になります。それがAPIキーです。
「部外者お断り」の扉に入るための合言葉みたいなもの、と思ってもらえればわかりやすいかと思います。
AIに「フォームとCRMを連携させるコードを書いて」と指示すると、AIはとりあえず動かすためにその合言葉を“コードの中”にそのまま書いてしまうことがあります。
しかもそのコードをAIなどの公開のサービスに上げると、実は世界中の誰でも見られる状態になります。
つまり『施錠はされているが、肝心の鍵が“玄関にぶら下がっている状態”』になってしまいます。これでは「合言葉」の意味がありませんよね。
最悪の場合、クラウドサービス(AWSやGoogleクラウドなど)の管理者権限に相当するキーが漏れて、突然数百万円の利用料が請求されるという事態にもなりえます。
問題は『サイト自体は正常に動いている』こと。普段サイトを閲覧していても、この「合言葉の漏れ」に気付きづらいのがポイントです。
②:認証不備…裏口の鍵がかかっていない
「認証」とはざっくり言えば「このページは、ログインした人だけが見られる」という仕組みのことです。AIで作ったサイトでは、この仕組みに抜け穴が生まれやすいことが指摘されています。
具体的には、『会員ページのURL(アドレス)を直接ブラウザに入力したら、ログインしていないのにアクセスできてしまった』というケースが起こり得ます。
認証不備のイメージ
- 公式サイトのURL … https://www.koushiki-site.jp(仮)
- サイト管理画面のURL … https://www.koushiki-site-kanri.jp(仮)
本来「サイト管理画面」は、URLを打ち込んでも、ログイン情報(IDやパスワードなど)を入力しないとアクセスできないような設定が必須です。しかしAIで作成したサイトでは、この管理画面のURLを直接打ち込んでしまえばログイン情報を求められずに管理画面にアクセスできてしまう、といったことが起こる可能性があるのです。
イメージとしては、受付でちゃんと身分証を確認するクラブがあったとして、正面入口はセキュリティが厳しいのに、裏口は鍵がかかっていない、という状態です。
認証設計の欠落はAIコーディングにおける見落とされやすいリスクの一つで、複数のセキュリティ調査でも繰り返し指摘されています。
③:フォームの不備…投書箱が「命令」を素通りさせてしまう
AIが生成するフォーム処理コードは、入力内容を「素直に受け取る」だけで、“悪意あるデータを弾く”処理を省略しがちです。
例えばお問い合わせフォームは本来、お客様からのメッセージを受け取るための「投書箱」です。
しかしその投書箱に「箱の中身を、全部私に送れ」という命令を仕込んだメモを入れた場合、そのまま実行されてしまうことがあります。これを『XSS(クロスサイトスクリプティング)攻撃』といいます。
攻撃者がフォームに特殊なコードを入力すると、次にそのページを見た人のブラウザ上でそのコードが動いてしまいます。たとえばフォームの確認ページやコメント欄がその対象になります。これで何が起きるかというと、サイトを訪れた人が偽のログイン画面に飛ばされたり、入力した情報を盗み取られたりします。
「フォーム送信ができる=安全」ではない、ということです。
【コラム】まとめると『AIはすべての脆弱性対策』に対応できていない
ここまでの話をざっくりとまとめると、AIは構築時に依頼した内容しか守りません。
『ここにボタンを置いて』、『ここを良いデザインにして』こういった内容は守って構築してくれるものの、
- お問い合わせフォームで起こるA攻撃、B攻撃、C攻撃も防いで
- 個人情報が漏れないように、対策Aや対策B、対策Cも対応して
などなど…、脆弱性を潰し切るにはデザイン性だけではなく、こういった莫大なサイバー攻撃を考慮したコードで制作しなければいけません。そしてAIは『サイトを作って』という指示に対してこのような内容を考慮して制作することはまずありません。
このような背景から、AIで制作しただけで終わってしまっているサイトこそ「脆弱性診断」が必要になってくるわけです。
【本題】AI制作サイトを「そのまま公開し続ける」と何が起きる?
脆弱性があるサイトをそのまま公開し続けると、次の3つの問題が起こる可能性があります。
- 問い合わせ・購入フォームのデータが漏えいする
- サイトが改ざんされ、訪問者に被害が及ぶ
- 運営者として法的責任を問われる
ここから詳しく見ていきましょう!
問題1:「顧客情報」が漏えいしてしまう
まず最も問題になりやすく、かつ致命的な事態を招くのが、フォームに入力された氏名・メールアドレス・電話番号・購入情報といった顧客データの漏洩リスクです。
こんな状況を想像してみてください。
問い合わせフォームからお客さんの情報が入るたびに、それが自分の受信ボックスだけでなく、見知らぬ誰かにも自動で転送されている——でも画面上はなにも変わらないので、担当者はまったく気づかない。
数ヶ月後、「おたくのサイトから漏れたと思われる情報でスパムが来ている」というお客さんからの連絡で初めて発覚する。
その時点で“数百件の顧客情報”がすでに流出していた。
2022年4月施行の改正個人情報保護法により、設定ミス等によりインターネット上で個人データの閲覧が可能な状態になった場合も、個人情報保護委員会への報告義務・本人への通知義務が生じます。
「気づかなかった」では済まされないというのが最も注意したいポイントです。
問題2:サイトが改ざんされ、HPとして機能しなくなる
管理権限の不備や認証の欠落があると、第三者がサイトの内容を書き換えられる状態になります。
朝出勤してサイトを開いたら、自分たちのロゴや文章が消えて、まったく別の内容に書き換えられていた、これが「改ざん」です。
さらに怖いのが、改ざんされたページにウイルスを配るコードがこっそり仕込まれているケースです。
見た目はいつも通りのサイトなのに、そのページを見たお客さんのパソコンにウイルスが入ってしまうと、被害が自分のサイトから、お客さんへと広がります。
発覚後の対応として、サイトを緊急停止して原因調査と復旧作業に1週間以上かかることも珍しくありません。その間は営業活動もストップせざるを得ない状況になってしまいます。
問題3:「運営者」として法的責任を問われる
たとえAIで制作した・誰かに制作してもらったサイトでも、「AIが作ったコードだから、自分には責任がない」とはなりません。
これは車の事故と似ていて、ナビの誤案内で事故が起きても、ハンドルを握っていたのは自分であり、責任は自分にあります。もし制作会社に依頼しているのであれば、制作した側が責任を問われることが一般的ですが、その場合であっても顧客から見た『企業への信頼性』は落ちてしまいます。
フォームから顧客情報が漏洩した場合、その情報をもとに被害が及んだお客さんから損害賠償を請求されるリスクがあります。「AIが生成したコードをそのまま使っていた」という事情は、運営者としての責任を免除する理由にはならないのです。
今すぐ見なおしたいサイトのセキュリティ設定
セキュリティの専門知識がなくても、今日から確認・対応できる設定項目があります。もちろんこれだけで完結するわけではありませんが、まず手をつけられる内容として整理しました。
①:テストページや設定ファイルの「公開範囲」を確認する
制作中に作ったテストページ・旧バージョンのページが公開状態のまま残っていることがあります。URLを知っていれば誰でもアクセスできる状態で、実はセキュリティ上の問題になりやすい箇所です。
サイトのURL末尾に「/test」「/backup」 「/.git」などを付けてアクセスすると、公開状態かどうかを見分けやすくなります。
【404エラー】ではなく何らかのページが表示されるなら対応が必要なサインとなります。
ノーコードツールを使っている場合は、「公開範囲」の設定(全公開・限定公開・非公開)が意図どおりになっているかどうかも、管理画面から確認できます。
②:「フォーム送信先」と「スパム対策」が正しく設定されているか確認する
フォームの送信先メールアドレスが正しく設定されているか、特に意図しない宛先に転送されていないかを確認します。実際に自分でテスト送信し、正しいアドレスに届いているかを確かめるのが最も確実です。
スパム送信・ボットによる自動入力を防ぐ対策(reCAPTCHAや送信回数制限)の設定が有効になっているかどうかも、あわせて確認しておきましょう。
AIが生成するフォームはスパム対策を省略しやすく、設定しないまま公開するとフォームが悪用される温床になることがあります。
コードやロジックレベルの『脆弱性』は専門家でないと見つけづらいもの
本記事でもお伝えしたように「動いているサイト=安全なサイト」ではありません。
普段何ともないと思って生活していても、健康診断を受けてみて初めて「数値が悪かった」と気づくのと似ていて、何も症状が出ていないうちから問題が進行していることがあります。
Webサイト改ざんの多くも、被害が起きてからしばらくしないと気づかないケースが大半です。気づいた時点では、すでに数ヶ月分の被害が蓄積しているということも珍しくありません。
- いつも見ているがエラーが出ていない
- お客さんから苦情が来ていない
これらは「サイトの安全を担保する証拠」ではありません。
AIコーディングで生成されたコードの中を、実際に専門ツールやプロの目視チェックを通して確認することで、はじめて設定画面には一切現れない「コードレベルの抜け穴」が発覚するのです。
まとめ:AI制作サイトの脆弱性が気になったら、まず診断を!
本記事でも解説したように、AIコーディングで作ったサイトにも脆弱性はあります。むしろAI制作サイトの方が『脆弱性が見つかりやすい』という可能性も十分あります。
この記事のポイント
- APIキー漏洩・認証不備・フォーム不備がAIサイト特有の3パターン!
- 設定ミスによる漏洩も個人情報保護法の報告義務の対象になる
- アクセス制御の不備とCSRFは手動診断でしか発見できない
- AIコーディングが普及するにつれ、「ツールが作ったから安全」という思い込みは一般化する恐れあり!
ここまで紹介した事例はあくまで一例であり、Webサイトにおける脆弱性は無数に存在します。
それらを一つひとつ潰していき、本当に問題ないか?を検証するにはやはり専門家に依頼いただくのが最も確実です。
『現在運用しているサイトが安全か不安になってきた…』という方は、ぜひ一度ご相談ください。
