【ハッキング対処法】「このサイトは第三者によってハッキングされている可能性があります」と表示された時の対処法

「このサイトは第三者によってハッキングされている可能性があります」

Googleの検索結果で時たま見かけるこの表示。

何度見ても心臓に悪いですね。

ここ1〜2年でWebサイトがハッキングされたという相談が急増しているように思います。

Webサイトのハッキングとは?

ハッキング、クラッキング、不正アクセス、サイトの改ざんなど呼び方は様々ですが、

自分のサイトが、第三者へ危害を与えるために利用されてしまうパターンがほとんどです。

具体的には、

・サイトにアクセスした人にウィルスに感染するようなファイルをダウンロードさせる

・サイトにアクセスした人をウィルスに感染するようなサイトに自動転送させる

・悪質なスパムメールの配信元サーバとして利用される

など。

さらに頭に入れておかなければいけないのは、ハッキングされるということは、Webサイト内やデータベースのデータが、外部から盗まれる可能性がある、ということです。

データベースやCSVファイルにお問合せの情報や会員情報が入っている場合、個人情報の流出の可能性まであります。

特に企業のサイトの場合、会社が大きな損害を被る危険があります。

基本的には、Webセキュリティの専門業者などに調査・対策を依頼することを強くオススメします(システムにさほど明るくない制作会社では、手に負えないことも多いです)。

Webサイトがハッキングされる原因

Webサイトがハッキングされる原因は、大きく3つです。

1、FTPのパスワードが漏洩する

2、Word Press等のアプリのパスワードが漏洩する。

3、Word Press等のアプリの「脆弱性」を突かれる。

最近特に増えているのが、3のパターンです。中でも大多数を占めるのがWord Pressのハッキングですが、古いMTOSがハッキングされた、というパターンもあります。

他にも、悪意のあるアプリケーションをサイトにインストールしてしまった場合や、作業者のPC自体がウィルスに感染していた、などの可能性もあります。

Webサイトがハッキングされた時の対処方法

※くどいようですが、Webセキュリティの専門業者などに委託するのが一番です。以下の対処法は参考程度にお読みいただき、自己責任で実施してください。

上記1〜3のどれが原因かを完全に特定するのは難しく、また、併発する場合もあるため、基本的には考え得る可能性全てを潰すのが鉄則です。

FTPアカウントが漏洩した可能性がある場合の対処としては

・FTPのパスワードを変更

・不要なFTPアカウントを削除

・FTPにIP制限をかける

が挙げられます。基本的には全部やりましょう。

アプリのパスワードが漏洩した可能性がある場合の対処としては、例えばWord Pressの場合、

・全てのユーザーのパスワード変更

・不要なユーザーの削除または権限変更

・Word Press管理画面にIPアドレス制限

を行いましょう。

また、Word Pressの設定で「誰でもユーザー登録ができるようにする」がONになっている場合、不要なら必ずOFFにしましょう。

これらが終わったら、ハッキングからの復旧と、脆弱性の対策です。

そもそも脆弱性(ぜいじゃくせい)とは?

※対処法を理解する上で必要な程度に、ざっくり説明します。

Word Pressやそのプラグインは、プログラムそのものが世界中に公開されています(「オープンソース」と呼ばれるものです)。

しかし、中には欠陥のあるプログラムもあります。

例えば、そのプログラムに対して外部から悪意のあるデータを送信されると、開発者の意図しないファイルを、サーバ内に生成してしまう、というようなものです。

もちろん、開発者はこのような欠陥が無いように細心の注意を払っていますが、時にはそのようなプログラムが世に出て、サイトに利用されてしまいます。

これが脆弱性の例です。

攻撃者はこのような欠陥を、公開されているプログラムの中から目ざとく見つけ、それを利用しているサイトを探します。

その欠陥を悪用して、多くの場合、まず、「バックドア」と呼ばれるような不正プログラムをサーバ内に作ります。

これは、攻撃者が、外部から、サーバ内に意図した通りのファイルを作れるようにするためのプログラムです。

これを足掛かりとして、より実害のあるプログラムをサーバ内に設置していきます。

さらに、駆除されにくいよう、サーバ内の複数の、発見しにくい場所に、バックドアを設置していくのが一般的です。

これらを完全に駆除しない限り、何度でも攻撃を受けてしまいます。

なお、FTPが漏洩して直接害のあるプログラムをアップされた場合でも、このようなバックドアを仕込まれていると、FTPに制限を加えても容易に再発してしまいます。

ハッキングされたサイトの復旧

これが最も難しい作業です。

基本的には、サーバのファイルを全てバックアップを取った上で削除し、必要なファイルだけを手作業でアップしていきます。

この時、不正なファイルを誤ってアップロードしてしまったら元の木阿弥ですので、確実にハッキングされる前のバックアップがあれば、そちらをアップする方が安全です。

場合によっては公開フォルダ(/public_html/など)より上位のフォルダに不正プログラムが設置されている場合もあるので、ドメイン設定ごと削除、再設定した方がベターです(メールサーバとしても使用している場合は要注意)。

しかし、Word Pressなど、多くのプログラムから構成されている場合は、必要なファイルを判別するのが困難です。

ファイルから復旧するよりも、Word Pressの最新版を改めてインストールし、プラグインも最新版をインストールし直す方が安全です。

その場合でも、テーマファイルやアップロードファイルは手動でアップロードし直す必要がありますが、もちろんこれらのフォルダ内に不正プログラムを仕込まれることも多いので、必要なファイルだけを注意してアップロードする必要があります。

脆弱性の対策

Word Pressのような開発が活発なオープンソースの場合、脆弱性が判明したら、直ちにアップデート版が公開されるため、Word Pressとプラグインを最新版にアップデートしておけば、比較的再発リスクは低くなります。

しかし中には何年も更新されずに放置されるプラグインもあるので、そのようなプラグインをインストールしている場合は、利用を中止する方が安全です。

また、Word Press以外のプログラムを使用しており、そのバージョンアップが停止しているような場合には、使用を控えた方が安全と言えます。

そして、Word Pressであっても、自前でカスタマイズしている場合、そのカスタマイズ部分そのものに脆弱性が潜んでいる可能性もゼロではありませんので、ソースコードのレビューなどの対策が必要です。

Word PressなどのWEBシステムは、サイト制作や運用を非常に効率化してくれる反面、常に攻撃のリスクに晒されていることを忘れずに。

正しい知識を持ち、万一の場合には、落ち着いて対応しましょう。

参考になったらシェアをお願いします!

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です