• !

  公開日:   最終更新日:

サイト改ざん!ハッキング!?もしもの時の対応方法【その2】-サイトトが改ざんされた!【熟練度・タイプ別】対応方法

もしも実際に自分のサイトが被害にあってしまった時、何をする必要があるのか?自分で修復ができるのか?を説明します。

このシリーズは、もしも運用中のWEBサイトにがクラッキング(ハッキングとも呼ばれることもありますが、悪意を持って行われるデータの解析や改変などをクラッキングと呼びます)被害にあった場合の対応方法に関するシリーズです。

このシリーズの前回の記事では、WEBサイト改ざん被害とはどういうものなのかを説明しました。
今回はもしも実際に自分のサイトが改ざん被害にあってしまった時、何をする必要があるのか?自分で修復ができるのか?を説明します。

スキルを問わず、まず必要なこと

誰でも簡単に投稿・更新できるのがWordPressの良いところですが、サイトを運用する方のWordPressのスキルは様々です。もしもサイトがクラッキングの被害にあってしまった場合の対応でできることも、自分でできることはスキルによって様々です。

まずは、スキルの有無に関わらず必要な対応を紹介します。

【突然サイトを閲覧できなくなった場合】レンタルサーバーからの連絡チェック

「急にサイトが真っ白になってしまった!」「WordPressにログインできなくなった」といった場合は、まず、レンタルサーバー会社からの連絡メールを確認しましょう。

大手のホスティングサービス会社は、サイトの改ざんや急激な通信の増加などの異変を検知すると、サイトオーナーへ連絡することがあります。サーバーを契約しているメールアドレスの受信トレイを確認してみてください。ホスティングサービス会社によっては、サイトへの不正アクセス、サイト改ざん、不正ファイルの設置を検知しました、という連絡をくれるところもあります。

メール以外にも、レンタルサーバーの管理パネルにログインし、通知がないか確認をしましょう。
レンタルサーバーの管理パネルに入った場合は、FTP接続情報を確認して、手元にめもしておくことをお勧めします。

サイトを非公開にする

(既にサイトの画面が真っ白で表示できていない・ログインできないという方は、この項は飛ばして、次の項目を確認してください。)

まず、改ざんされたサイトは非公開にすることをお勧めします。

これは、サイトを訪問したユーザーに被害が及ばないようにする為です。意図しないとはいえ、自分のWEBサイトがフィッシング詐欺等の犯罪の土台になってしまう可能性があります。直ちにサイトを非公開にしましょう。

サイトを非公開にするための、いくつかの方法をご紹介します。

注:これらの方法を行っても、必ずしも全ての攻撃が止まるというわけではありません。サイトユーザーにできるだけ被害が拡散しない為の緊急措置となります。

  • 【初心者向け】メンテナンスモードプラグインを利用する
    WordPress管理画面にログインが可能であれば、プラグインを使ってサイトを非公開にできます。
    ただし、攻撃の方法によっては、プラグインでメンテナンスモードにしても他のサイトへリダイレクトされることなどはあり得ます。
  • 【中級者向け】サイトデータをまとめてパーミッション0000にする。
    サイトデータのあるサーバーへFTP接続でログインし、新しいディレクトリをひとつ作ります。
    そこに、サイトデータを全てまとめて移動した上で、そのディレクトリのパーミッションを0000に設定します。

    こうすることで、被害にあったサイトデータを削除することなく、誰もアクセスできない状態で保護できます。ただし、この方法をとる場合は、その後自分でもサイト外観を確認することができなくなります。

    当該サイトのドメインルートに、サイトのメンテナンスを知らせるindex.htmlを置いても良いでしょう。
  • 【上級者向け】.htaccessを編集して、IP制限をかける。
    対象サイトのドメインルートの.htaccessを編集して、IP制限をかけます。制限されたIPはリダイレクトで指定のhtmlファイルを表示するようにしておきます。
    こうすることで、当該のサイトへアクセスできるのは、制限解除をされているユーザーのみとなります。

個人情報取り扱いの有無確認

サイトの中で、ユーザーの個人情報を預かっているかを確認してください。
顧客データ等個人情報を預かる場合は、事前にインシデント発生時の対応策を策定しておく必要があります。

特にECサイトや会員制のサイトは、顧客の個人情報をサイト内で保持していることが多いです。

サイト改ざんの被害にあった場合、攻撃者がこれらの情報にアクセスできている可能性があります。
本当に情報漏洩が起こったか否かについては、攻撃開始後からのログ調査を行わねば特定はできません。
サイトがこういったリスク下にあることを認識し、事前に策定した対応策を実施するか、策定されていない場合は至急対応策を考えましょう。

参考:個人情報保護委員会

管理しているその他のサイトの確認

被害の状況と全容を把握することが必要です。

WEBサイト改ざんの攻撃は、脆弱性のあるひとつのサイトを入り口とし、同じサーバー内の別のサイトへも影響を及ぼします。

現在目に見える被害が1サイトの場合であっても、時間の経過とともに被害が同じサーバー内の別のデータへ及ぶ可能性があります。

そこで、被害にあった場合には同じサーバー内で管理している他のサイト群・他のデータについても注意意を払ってください。具体的には、その時点での被害の有無の確認や、個人情報の保有有無の確認を行いましょう。可能であれば、目に見える被害がない場合でも、同じサーバー内の全てのサイトを一時的に公開停止にしましょう。

データの保全=その時点でのバックアップの取得

念のため、サーバー内全てのファイルとデータベースのバックアップを取得しましょう。
これは、取得後はローカルに保管することをお勧めします。
ただし、このバックアップファイルには不正ファイルやスクリプトが含まれている可能性がありますので、他のサーバー等開かれた環境では展開しないようにしましょう。

サイト改ざんからの復旧に向けて

ここまでの対応・確認ができたら、復旧の方法を考え始めます。いくつかの方法が考えられますが、今回はWordPressやサイト制作のスキル別にご紹介します。

【初心者向け】サイトを壊したくない場合は専門業者へ!

サイトを非公開にする為に、メンテナンスモードプラグインを使った方、FTP接続をほとんどしたことがない方、バックアップ作成と展開はプラグインでしか行ったことがないという方は、専門業者へ復旧を頼むことをお勧めします。

また、レンタルサーバーからの通知メールを読んだけれど、意味がよくわからないという方も、やはり専門業者への依頼をお勧めします。

これには理由が3つあります。

1.時間短縮

初心者の方が自分で復旧を行う場合、その方法がマニュアルを見ながら手探りのような状態になり、時間がかかることが多いです。復旧業者はこれを短時間で解決してくれます。

2.自分で復旧しても直らない可能性もある

レンタルサーバーからの指示で、バックアップに戻した。WordPressを再インストールした、という場合でも、復旧出来ない可能性があります。なぜなら、戻したバックアップ自体が既にマルウェアに感染している(=改ざん被害にあっている)ものである可能性があるからです。また、WordPressを再インストールをし、uploadsディレクトリを以前と同じものを使う場合、そこに不正ファイルが存在すれば、再被害が発生します。

それだけではなく、サーバー内に複数のサイトを保有している場合、ひとつのサイトを直しただけでは解決しない場合があります。全てのサイトに同じ復旧を行わねばなりません。

3.初心者の場合、間違ってデータを消してしまう可能性がある

データを削除してしまうと、業者でもサイトを復旧できなくなる場合があります。
特に、WordPress本体とデータベースの接続方法などが分からない方の場合は、作業ミスで誤ってデータベースを消してしまう・上書きしてしまう可能性があります。初心者の方でサイトデータを紛失したくない場合は、専門業者への依頼をお勧めします。

【中~上級者向け】自分で復旧する場合の注意事項

バックアップデータを再展開する方法がわかる、WordPressのディレクトリ構成を理解している、.htaccessの操作ができる、という場合は、自分で復旧することができるかもしれません。
本サイトでは、自分での復旧はあまりお勧めしません。以下に自分で復旧する場合の注意事項をまとめておきますが、あくまでも自己責任で行ってください。

  • バックアップに戻しても、必ず復旧するとは限らない
    被害前のサイトデータがある場合、そのバックアップに戻せば復旧することは可能です。
    しかし、そのバックアップデータが本当に安全かは、確認できているでしょうか?
    不正なサイトにリダイレクトされるなどの被害を確認した場合、それ以前のデータであれば本当に大丈夫なのか?それは、いつ最初の攻撃が始まったかがわからなければ、わかりません。
    既に目に見えない場所での攻撃が始まっていた場合、復旧をしても数日後に再発する可能性がありますので、注意してください。
  • 脆弱性は塞いでいるか?
    バックアップに戻した場合は、プラグイン・コアのアップデートをすることをお勧めします。
    仮に攻撃前のバックアップデータに戻したとしても、脆弱性があるままだと、同じ箇所から再攻撃を受ける可能性があります。当サイトの脆弱性情報を確認する等して、できる限り最新の状態にアップデートすすことをお勧めします。
  • 管理者パスワードは必ず変更を!
    改ざんにより、不正なユーザーが追加されたり、管理者パスワードが漏洩している可能性があります。
    ユーザーのチェックと管理者パスワードの変更をお勧めします。

復旧の方法は、下記のリンクに詳しく書いてあります。
https://ccsi.jp/629/

マルウェアスキャンツールは有効か?

自分で復旧を行う場合に、サイト内のマルウェアスキャンツールを使うことがあります。

簡単に不正なファイルを検出できるので便利です。しかし、これは必ずしも完璧であるとは言えません。

最近のサイト改ざん攻撃では、既存のPHPファイル内に通常のサイトで使うコードと同じものを使って不正スクリプトを書き込むことがあります。例えばテーマのheader.phpに、それとはわからないように不正スクリプトを書き込む場合があります。このような場合は、ツールでは検出できないことがあります。

また、.pngや.jpgといった画像ファイルの拡張子を使って、中に不正なスクリプトを仕込むという攻撃も増えています。これらも、ツールで発見しにくい不正ファイルです。

自分で復旧作業を行う場合、マルウェアスキャンで多くの攻撃ファイルは検出できますが、これで全ての攻撃スクリプトを削除できるとは限らないという事を頭に入れておいてください。

サイト改ざん被害への対応:ポイントまとめ

WEBサイト改ざん被害にあった場合、何をしたら良いかよくわからず、また、なぜ被害にあったのかわからず困惑すると思います。そこを少しスッキリさせるためのポイントです。

難しいかもしれないけれど、きちんと状況を把握すること

通常ブログ投稿や、小規模なサイトのメンテナンスしかしていない場合でも、改ざんの被害にあった場合は、きちんと状況を把握することをお勧めします。それが、サイトオーナーまたは管理者の責任です。

普段あまり使っていないサイト・更新しないサイトでも、改ざんにあった場合は必ず対応が必要です。
放置すると被害が広がります。放置するのであれば、いっそのこと、サイトそのものをサーバーから削除した方が良いでしょう。

サイト訪問者に対する責任を鑑みても、きちんと状況を把握することが大切です。

対応にかかる時間と費用を天秤にかける

復旧を業者に依頼すると費用がかかって嫌だ、と思う方も多いと思います。
しかし、WEBサイトが改ざんされた場合の復旧とそれに付随する様々な対応を自分で行うと、それなりに時間がかかります。再発を起こさない復旧を確実に短時間で行うコストと、自分での復旧にかかる時間のコストを比較して、最適な対応を考えましょう。

自分で何時間もかけて対応を行った挙句、数日後に再発する、という方も少なくありません。そうであれば、早期に業者に依頼するのは、無駄な時間を省くことができます。

個人情報漏洩の対策を

特に企業のサイトの場合、個人情報漏洩が起こった場合、またはその可能性のある場合の対応が必要です。
本来これは事前に策定しておくべきことですが、策定していない状態で事象が起こった場合、どのように対応するかを早めに決めることが大切です。

業者に依頼する場合には、サーバーへのログイン情報が必要

業者に復旧作業を依頼する場合も、サーバーへのログイン情報は必ず必要になります。
レンタルサーバー管理パネルへのアクセス情報・FTP接続情報等を用意しましょう。

同じサーバー内の他のサイトにも注意

攻撃によって被害が同じサーバー内の他のサイトに広がる場合があります。
また、現在目に見える被害があるサイトではなく、同じサーバー内の使っていないサイトや開発環境が攻撃を最初に受けたところであることもしばしばあります。

同じサーバー内にある全てのデータを確認し、どのようなサイトが運用されているかを再確認しましょう。

バックアップ復旧・マルウェアスキャンは完璧ではない

自分で復旧を行う場合は、このことに注意してください。

被害にあった理由は、脆弱性があったから

サイト改ざんは、そのサイトの持ち主や企業を個別に狙いを定める攻撃(=標的型攻撃)ではないことが多いです。
攻撃を受けた理由は、そのサイトに脆弱性があった、パスワードが簡単に推測できるものだった、といった理由が殆どです。再発防止の為の運用を考えるうえでも大切です。

復旧専門業者に依頼する場合は、その原因や復旧後の運用方法についても相談すると良いでしょう。

これらのポイントをおさえた上で、対応と復旧を行うことをお勧めします。