ホームページのセキュリティ対策と被害事例をご紹介します。
その前に、
あなたは、サメに襲われる事を想像できますか。
おそらく、誰もがサメに襲われる事なんて想像しないでしょう。
ホームページのハッキング被害も同じです。
以前の私も実はそうでした。
まだ駆け出しの頃、運営しているホームページの数も少なく、アクセスもそれほど集める事ができていなかった頃、初めてのハッキング被害に遭いました。
それから数年、アクセスのそれなりに取れているサイトへ攻撃された事を機に、サイトのセキュリティやハッキング、マルウェアに対する対策を講じるようになりました。
そして、2014年の今年12月に入り特に攻撃が頻発し、復旧に追われ他の仕事ができなくなるという事態に陥ってしまいました。
ハッキング攻撃にアクセス数は関係ありません
きっと、私と同じようにあなたも「ハッキングなどの攻撃はアクセスの多いサイトに限ってあるものだ」と決めつけているのではないでしょうか。
月間数10万アクセスや数100万アクセスを獲得する人気サイトを襲ってこそ、ハッカーも目的を果たせるはずだから、きっとそうに違いない。このように思われている方も少なくないのではないでしょうか。
月間1万PV程度や数1,000程度のアクセスしかないサイトは関係ないと、海水浴でサメに襲われるくらいの確立だと、無関心になっているかもしれません。
上図は、2014年12月24日、25日と連日異なる方法でハッキングされたWebサイトのアクセス状況です。
月間ユニークユーザー(UU)数は500弱、ページビュー(PV)数も2000程度の弱小サイトです。
このサイトがクリスマス・イブの前夜、そしてXmasイブの夜に攻撃されたのです。
この他にも今月中旬に過去ホームページ作成を担当したお客様のサイトでも、ハッキング被害にあわれていました。
こちらのお客様は現在サポートが終了しておりましたが、偶然ハッキング被害を見つける事ができご報告させて頂きました。
しかし、未だ復旧の手だてが見当たらないようで、アクセスは激減してしまっておられるようです。
こちらのWebサイトは被害に遭われる前まで、UU数は2,000程でPVは3300程あったようですが、被害後は1桁が続いており23日以降はアクセスすらなくなってしまいました。
今月に入ってから起こったハッキングによる不正ソフト(マルウェア等)への感染被害に遭われた2サイトを見ても分かるように、決して「人気サイト」と呼べるホームページでない事がお分かりになられる事と思います。
しかし、この2サイトには共通点がありました。
それは、中級のキーワードにて上位表示しているWebサイトという共通点です。
せっかくコンテンツを重視してSEOに成功し、目的のキーワードにてコンバージョンの高いアクセスを得ていたにもかかわらず、被害にあった故に、アクセスが「0(ゼロ)」になったわけです。
(事例1のサイトは、いくつかの好条件が重なってアクセスを下げる事なく運営できています。)
それでは、今回セキュリティ設定をかいくぐりマルウェア感染の被害にあった内容の詳細と復旧作業、今後の対策をご紹介しましょう。
マルウェア感染の被害状況
【事例1】
- サーバー内ファイヤーウォール設定「有」
- WordPressログインパスワードレベル「強」
- WordPressサイト
- ロングテールキーワードで複数上位表示
- 月間ユニークユーザー数:462
- 月間ページビュー数:2009
マルウェア感染の発見方法
初回発見方法:日々の検索順位チェックにて発覚
症状:検索順位のチェックにてYahoo!順位が全て圏外になっていたので、異変に気付き実際にYahoo!で該当キーワードで検索をしてみました。
その結果は、普段と変わらず上位表示を果たしていたのですが、下記のような表示があり、危険を承知でアクセスしてみると、冒頭の画像のようなGoogleのセキュリティに関する表示が表示され、Webマスターツールを確認するに至りました。
初回症状
初回のマルウェア感染では、下記のブラウザ全てにおいて、症状が出ていました。
- Windows インターネットエクスプローラ(ie)
- Google Chrome
- Safari
- ファイヤーフォックス
- Opera
iPhoneにて
- iOS Safari
- Chrome
- ドルフィン
- Sleipnir
初回のマルウェア感染を察知した際にGoogleWebマスターツールを確認すると下記のようなメッセージが届いていました。
上図のURLの例には感染が確認されたページのURLがいくつか表示され、この下に追記されている方法をたどり【セキュリティの問題】ページにアクセスすると【不審なスニペット】が表示され、HTML形式の怪しげなコードを教えてくれます。
スニペットとは:スニペット(snippet)とは、「切れ端」という意味で、プログラムコードの一部を意味します。
今回はインラインフレームを使った、外部サイトを表示させるスパム攻撃でしたが、指摘されたURLのコードを全て確認しても、該当するコードが見当たりませんでした。
これは、WordPressがphpというプログラム系のコードで書かれている事と、スクリプトというプログラムを介したスパム攻撃だったため、純粋なHTMLだけを調査しても見つからなかったというわけです。
マルウェア駆除に至った方法
初回のマルウェア感染の駆除は、WordPressを最新の状態に更新する事で回復できました。
サポートを行なわさせて頂いているWordPressサイトにおいては、最新バージョンのリリース後最低でも1週間以内には更新していたので、Ver.4.1の日本語版がリリースされた3日後に攻撃された事に驚きました。
念のため、サーバー内にある「htaccess」及び「php」ファイルを全て調査し、バックアップファイルとの差分を検証しました。(WordPress内にあるphpファイルの数をご存知の方は、どのくらいの工数がかかるかお察しがつくかと思います。)
改善を確認する方法としては、実際に壊れても良いと覚悟した最も古いパソコンでアクセスし、正常にアクセスできた事を確認し、GoogleWebマスターツールから、再調査依頼をメールしました。
結果、数時間後の18:30に検索結果から、「このサイトはコンピューターに損害を与える可能性があります」の表示が消え、事なきを得ました。
しかし、その晩、異なる方法で再びマルウェア感染に至りました。
マルウェア感染を駆除した後の対応が肝心
そして、今朝、悪夢が再来しました。
検索順位チェックでは昨日の今日ではクローラーの影響もあり、反映されないだろうと考え、実際に昨日使った中古のパソコンで検索すると、昨日と同じように検索結果に警告文は表示されず、通常通りアクセスもできました。
手持ちのiPhoneでも同様に確認し安全を確認。
しかし、仕事用のMacで頻繁に使っているブラウザ「Google Chrome」「パソコンのSafari」で検索すると…。
2度目の攻撃は、Google ChromeとPCブラウザのSafariの脆弱性を付いたWordPressサイトを介するマルウェア感染でした。
それも、デスクトップビューのみ反映されるマルウェアで、iPhoneやiPadのChrome、Safari及びその他のブラウザでは、正常にアクセスされるという性質がありました。
しかし、おかしな点もあります。それは、検索結果に「このページを訳す」と表示されるのです。
日本語サイトでこの表示が出るのは非常に不自然です。
アクセスしてみると、一旦、該当のホームページが表示されそうにはなるのですが、次の瞬間別のページを開くような挙動が起こり、再び冒頭の真っ赤な画面が表示されました。
更に、今回は異なる点がありました。
初日のマルウェア感染では、冒頭の画像「ぼかし部分」の通り、該当サイトのURLが掲載されていました。
しかし、今朝の警告画面では、Webマスターツール内のスニペット内に掲載されていた外部サイトのURLが表示されていたのです。
今回も昨日に続きレンタルサーバーのWAF設定はONのままでしたので、サーバー会社にも状況を説明する対策協力の依頼メールをお問い合せから送信しました。
その後対策に当たり、不審なファイルを特定。
テーマファイルのバックアップと差分を検証し、不要なファイルを削除。
そして、Google Webマスターツールに指摘されているページに共通するPHPファイルから順に改ざんが行なわれていないものと比較し、書き加えられている部分を発見。削除して再びWebマスターツールから、再審査リクエストを行ないました。
サーバー会社との連携で発覚前に対応ができた
全ての処理を完了しこの記事を執筆中にサーバー会社からメールが届きました。
レンタルサーバー会社の方で改ざんされたファイル一覧とCMS(今回はWordPress)のバージョンを記したテキストメモが提供され、これを確認すると症状が表に出ていないサイトが改ざんされている事を知る事ができました。
こちらのサイトは私が運営しているアフィリエイトサイトでひとつの収益の柱になっているものです。
このサイトに関しては、検索結果にも異常はありませんし、通常にアクセスする事ができる状態でした。
順位チェックでも通常と変わらず、埋め込まれた(改ざんされた)タイミングにもよりますが、事なきを得ることができ胸を撫で下ろしています。
マルウェア感染とサイト改ざんの予防と対処法
今回の一連のマルウェア感染、サイト改ざん被害から復旧までをまとめ、今回実施した対処法と今後の予防策についてまとめます。
WordPressに関する知識やphpに関する知識などが必要となりますので、もし、今後、当記事に該当するような被害にあった場合や予防する場合などは、ホームページ作成会社にご連絡されるか、私の方でも対応可能ですのでご相談ください。
マルウェア感染、サイト改ざんへの対処法
マルウェア感染やサイト改ざんにあったサイトはGoogleよりアクセスを遮断されます。その際に表示される画面は以下のようなものがあります。
該当URLにアクセスした場合に表示される警告画面の一例。
注意!画像内に表示されているURLはフィッシングサイト(悪意のあるサイト)ですので、アクセスしないでください。「ぼかし処理」を行なっている箇所には、被害にあったURLが記述されていましたので、伏せさせて頂いております。
これらの被害にあわれた場合は、下記の手順で対応してください。
マルウェア感染、改ざん被害に遭われた場合の対応手順
- レンタルサーバー会社に連絡
(詳細を求められる場合がございます) - GoogleWebマスターツールを確認
(【セキュリティに関する問題】)のページを確認 - (2)で指摘されているページに不審なコードが差し込まれていないかを確認
- (3)で発見できれば、削除
- (3)で発見できない場合は、各ページに共通するphpを確認
ヘッダー、フッター、単一ページなど - プラグインに関しても同様に調査
- .htaccessファイルを確認し、不審なコードがあれば削除
- FTPソフトでサーバーにアクセスし、不審なファイルが追加されていないかを確認し、あれば全て削除
- 以上の措置完了後、正常にアクセスできるかをチェック
- Webマスターツールにて再審査を要求
- 時間をおいて、実際に検索してみて、警告文が消えたかを確認する
こんな状況でも対応可能です。
マルウェアに感染したりサイト改ざん被害にあった場合は「URL」全体にGoogleが制限をかけますので、WordPressにログインすらできないという状況が発生する場合があります。
この場合は、レンタルサーバーサービスにもよりますが、サーバーの管理画面からFTPにアクセスし、一連の措置を講じる方法と、パソコンからFTPソフトを使い直接サーバーにアクセスしてファイルをダウンロードし修正及び削除作業を行う事が可能です。
今回のケースではダウンロード型のコンピューターウィルスを含むファイルは含まれておりませんでしたが、それらを含む改ざんが行なわれていないとも言い切れませんので、最悪のケースでは対応するPCがウィルスに感染する危険もあり、対応は困難となり対応してくださるWeb会社も少なくなります。
また、引き受けてくれる会社もあるかと思われますが、パソコンを破壊されるリスクもありますので、おそらく高額となる事でしょう。
私の方では、症状をお伺いしオンラインで調査できる限りの事を実施した上でお見積もりをご提出させて頂きます。
セキュリティのためにもGoogle Webマスターツールへのご登録を
レンタルサーバーによっては、一連の問い合せを行なっても、早急な対応をして頂けるとは限りません。
また、低額のレンタルサーバーでは、電話での応対がないためメールでのやり取りとなり、詳細を求められると専門知識が必要になってきます。
そんな時に役に立つのが、GoogleのWebマスターツールです。
攻撃をされているページを教えてくれますし、どのようなコードが差し込まれているかなどを教えてくれますので、場合によっては、画面検索で該当コードを探し当て、編集ソフトやメモ帳ソフトで書き換える事ができます。
また、レンタルサーバーに救済協力のメールを送る時も、Googleからのメッセージを添付するなどによって詳細を伝える事が可能になります。
登録は簡単ですのでぜひ、Webマスターツールの使用を検討ください。
セキュリティ強化のご相談や改ざん被害からの復旧に関するご相談やお問い合せは下記よりお問い合わせください。
