サイト改ざん！ハッキング！？もしもの時の対応方法【その１】-WEBサイトが改ざんされた！？何が起こるの？

このシリーズは、もしも運用中のWEBサイトにがクラッキング（ハッキングとも呼ばれることもありますが、悪意を持って行われるデータの解析や改変などをクラッキングと呼びます）被害にあった場合の対応方法に関するシリーズです。

どんなサイトにもセキュリティリスクはあり、どんなサイトも被害のターゲットになる可能性があります。

被害を受けないようにする日々の対策として、当サイトのWordPress保守の基本をご参照ください。

今回は、WEBサイトの改ざん被害に焦点をあてて、日々運用するサイトにどのような脅威があるのか、クラッキングされるとどのようなことが起こるのかをご紹介したいと思います。

WEBサイトを改ざんされると…

「WEBサイト改ざん」という言葉を聞いたことがありますか？そもそも、サイト改ざん（改竄）とはどのような状態を示すのでしょうか？

WEBサイト改ざんは、悪意のある攻撃者が、サイトのコンテンツデータを格納しているWEBサーバーに対して不正な手段で侵入し、そのデータの書き換え・削除・データの追加等を行う行為です。

例えば、攻撃者は不正に入手したログイン情報やサイトの持つ脆弱性を悪用し、不正にサイトの管理画面やサーバー内に侵入し、サイトの中身の書き換えや不正ファイルを設置します。これにより、サイトには管理者の意図しない勝手な変更がなされ、サイトの外観が変更される・スパムメールの踏み台となる・サイト内の情報が漏洩する等様々な被害がおこります。

サイト改ざんされるとどうなる？より具体的な例

では、サイト改ざんが起こると具体的にどのようなことが起こるのでしょうか？代表的な被害事例として、

• サイトを訪問すると、勝手に他のサイトにリダイレクトされる
  →リダイレクトが自動に素早く行われるため、そのサイトが別のサイトになってしまったように見える場合もあります。
  →リダイレクトされる先には、ショッピングサイト・アダルトコンテンツ・政治的な主張のページなどが挙げられます。リダイレクト先自体が不正コンテンツで、ブラウザの警告画面が表示される場合も。
  
• 投稿ページや固定ページに不正な投稿をされる
  →ブログ投稿部分に、勝手に意図しない内容の記事を追加されることがあります。これは、外国語の投稿であることが多いです。サイト管理者が気付きにくいように、古い日付の投稿を増やされることもありっます。また、固定ページやサイトヘッダー・フッターのテンプレートに不正なコードを書かれ、意図しない画像やテキストが表示されることもあります。
  
• スパムメールの踏み台になる
  →サイトやPHPのメール送信機能を悪用して、大量のスパムメールを送られることがあります。
  これは、管理者自身のメールソフトの送信トレイには残らない形で行われることが多いので、サイト管理者自身も気が付かない場合があります。そのような場合でも、サイトのドメインを勝手に使われてスパム送信されていることがあるので、注意が必要です。
  
• 情報漏洩・個人情報流出
  →サイト内で管理している個人情報を窃取されることがあります。
  ECサイトや登録ユーザーの個人情報をサイト内で取り扱っている場合、注意が必要です。
  サイトの外観への被害がなく、情報を抜かれてしまうだけのこともあり、運営者が全く気が付かない間に行われることもあります。
  
• レンタルサーバーの管理パネル内で不正な操作をされる
  →これは海外で多く見られる被害ですが、サイトの改ざんからレンタルサーバーの情報を窃取し、DNSやサーバーの設定までも変更して悪用するという攻撃です。

サイト改ざんの被害にどうやって気が付く？こんな時は改ざん被害を疑ってください。

「いつも自分でサイトを見ているのに改ざんに気が付かなかった」ということもあります。

実際に、サイトへの不正アクセスが始まってから、サイトの外観に影響が出るまでに時間を要する場合があること、ブラウザキャッシュを用いてサイトを表示している場合と、検索画面から初めて入る場合で読み込みが異なる場合等があります。

また、FTP接続でサーバー内を確認しても、どれが不正に追加されたファイルであるかわからない場合もあります。不正ファイルは、通常使われているファイルを模したタイトルや拡張子を使うこともあり、見分けがつきにくいものが多いのです。

実際にサイトに目に見えるトラブルが出始めて、初めて気が付く場合は次のようなケースです。身に覚えがなく以下のような症状がある時は、サイトの改ざんを疑ってください。

• サイトを訪問すると見知らぬショッピングサイトや海外サイトに転送される
  
• 検索エンジンで検索すると、タイトルや説明の内容が全く異なるものになっている
  
• 検索すると、サイトが赤い警告画面になってしまう
  
• 管理画面にログインできなくなった
  
• サイトが突然表示されなくなった
  
• レンタルサーバーから、警告のメールが来た
  →改ざんされて不正なファイルを検出しました、とはっきり連絡が来る場合もあります。
  
• Google Search Consoleなどから、不正なコンテンツ存在の警告のメールが来た
  →改ざん被害ではない場合も注意喚起メールはあるので警告の内容をしっかり確認しましょう。
  
• 自分以外のサイト訪問者から、サイトの表示が変だと連絡があった
  

検索結果に異状がある場合の確認方法

検索結果に異状がある場合や、サイトがショッピングサイトのようになっている場合は、以下の方法でGoogle検索をためしてみましょう。

site:example.com (example.comに調べたいサイトのドメインを入力)

これで、当該ドメインでインデックスされている全てのページが検索結果に表示されます。

サイトと関係のない検索結果が表示されていないかを確認してみましょう。

サイト改ざんで起こる2次的な被害

「改ざんされるとどうなる？」でご紹介した被害以外に、サイト改ざんによって次のような被害が発生する可能性があります。特に、改ざんを放置すると起こりやすくなるので気を付けましょう。

• レンタルサーバーによりサイトの表示が止められる
  →不正なファイルをサーバー内に複数追加されると、それを検知したレンタルサーバーが強制的な措置を行う場合があります。不正ファイルの動きを止めてしまうのです。これにより、これまで閲覧できたサイトを見ることや更新することができなくなります。改ざんの被害に気付かず、いきなりサーバーにサイトを停止されて改ざん被害に気が付くことも稀ではありません。
  
• ドメインがブラックリストに入ってしまう
  →サイト改ざんにより、一時的でも不正な内容が表示されたり、スパムメールの送信元になると、セキュリティ関連のデータベースサイトや、セキュリティソフトの管理会社によって「不正なドメイン」として登録されてしまう場合があります。これによって、サイト画面表示の前に警告が出たり、同ドメインから送るメールが迷惑メールと判定されてしまうことがあります。
  
• 検索結果の順位が下がる
  →サイトに不正コンテンツがあると検索エンジンにみなされ、復旧後しばらくの間順位が下がることがあります。
  
• 連鎖的に複数の攻撃者から攻撃を受ける
  →攻撃を受けたドメインは、海外の闇サイト等で公開されることがあります。インターネット上では、クラッキング行為のコンテストなどがゲーム感覚で行われており、グループでより多くのサイトを攻撃してランキングをつけるといったサイトもあります。こういったサイトでは、攻撃済みのサイトのURL、ドメインを公開することがあります。それを見た別の攻撃者がサイトへの不正アクセスを試み、別の攻撃を受ける場合があります。
  
• 流失した個人情報が悪用される
  →サイトが保持していた個人情報が闇サイトで公開されたり、別の不正行為に使われる可能性があります。
  

このように、サイト改ざんの後に待ち受けている被害は、様々なものがあります。

WEBサイトを改ざんされたら、サイトを見たり更新しているパソコンも被害にあうの？

WEBサイトの攻撃により「マルウェアをサーバーに置かれる」というような言い方をすることもありますが、サイト改ざん被害と同時にPCなどの端末が被害にあうことは少なく、例えば、サイト改ざんをきっかけにそのサイトの管理者が身代金要求のランサムウェアの被害に遭うという事象はあまり見られません。

ただし、マシンを攻撃できる悪意あるメールをそのドメインから不特定多数の人にスパムメールが送られてしまう被害や、リダイレクト先でマルウェアを端末に入れるといった被害は起こり得ることです。

攻撃に使われるファイルはwebshellと呼ばれるもので、PC内にダウンロードしても動かないファイルが多いです。感染したサイトのデータをDLすると、PCのセキュリティツールが不正ファイルを検知することがあります。実際のところ、それらのファイルをDLしてもマシン内で勝手に動作することは少ないです。勿論、不正ファイルの内容の区別がつかない場合は、DLしない方が賢明です。

サイバー犯罪の手口は日々進化していますので、100％安全ということは言えないのですが、改ざん被害にあった場合は、ご自身の手元の端末だけでなく、サイト訪問者への悪影響も考える必要があります。

被害にあっているけれど放置していいの？－ダメです！

サイトは殆ど更新していないし、訪問者も少ないから、改ざんされているけど放っておいて良いのでしょうか？こんなことを言う方もいます。ダメです！対応してください。

これまでご説明してきたように、サイトを改ざんされた場合は、そのサイト自体がインターネット犯罪の温床となる可能性があります。それを放置することで、インターネット犯罪を助長することになってしまいます。

どのようなサイトを運用している場合でも、必ず対応をすることをお勧めします。

次の記事では、WEBサイトが改ざんされた場合の対応方法をご紹介します。

サイト改ざん！ハッキング！？もしもの時の対応方法【その２】-サイトトが改ざんされた！【熟練度・タイプ別】対応方法