WordPressのハッキング被害が急増中! サイト運営者は注意を

ドクロ

まだ大々的に報道されていないが、身近に広がるハッキングの被害

ホームページやブログ(以下Webサイト)のハッキングの被害と言えば、年がら年中どこかしらで話題となっており、注意喚起も頻繁に行われていますが、あまりにも恒例行事のようにアナウンスされるため、自身のパソコンのウイルス感染などに比べると、Webサイトの運営者はどこか他人事(ひとごと)だと感じている方は多いことでしょう。

おそらくWebサイトの運営者であれば、一般的なパソコンの利用者に比べて、そういった方面の技術や知識、関心についてより高いはずですが、Yahooニュースなど公的なメディアが取り上げて、はじめて気にし始めるというレベルでわざわざパスワードなどの変更を行う方はそれほど多くないと思います。

現在のところそういったハッキングに関する重大なニュースは主要メディアでは取り上げられていませんが、今回実際に僕の周りでそういった被害の拡大を感じ始めたので、注意喚起の意味をこめて今回取り上げました。

このブログの更新も初めて4日ほど空きましたが、この不穏な気配の調査と対応に追われていたのが原因です(ちょっと言い訳)。

スポンサーリンク 

実際に起こったハッキング(疑惑)の内容

まず、実際にハッキングと言い切るにはニュースになっていないので、あくまで僕の予想というか診断なわけですが、すでに二件の被害の相談を受け、目の当たりにしています。

まず共通点としてはWordPressを使用しているWebサイトである点で共通点があります。

このブログのデータを入れているロリポップでもハッキングに関する注意喚起が以前より行われていましたが、もしかしたら同系統の被害かもしれません。

サイトのメニュー(ナビゲーション)などが書き換えられている

まず一つ目のケースですが、こちらは僕がSEO対策に関するコンサルティングを有料でしているサイト(以前ご紹介させていただいたタンタンさんのサイトではありません)なのですが、色々なキーワードに対して対象のWebサイトがどれぐらいの順位の変動をしているか、実際に検索エンジンを使ってチェックしていたところ、僕自身が検索結果に対して違和感を感じて、発見にいたりました。

具体的には表示されるいわゆるリッチスニペット(サイトに関する様々な情報)が、本来の内容とはかけ離れた下ネタ系の英語などに変わっていたわけですが、どんどん調べていくうちにナビゲーションだけではなく、サーバー上にはデフォルトでは存在するはずのないファイルが存在したり、僕がカスタマイズしていたファイルなどが上書きされていました。

このサイトの運営者の方にはすぐに報告し、データの保管場所やWordPressの再インストールなど色々行いましたが、結局どこに原因があるか分からず、新規ドメインに移動しました。

サイトが真っ白で何も表示されない

これはつい昨日の話ですが、以前僕がWeb会社に属していた時のお客さんからの相談なんですが、見出しの内容です。

久しぶりに連絡があったわけで、僕も完全に手を放していたので最近はあまり気にとめていなかったので、最初はドメインの更新を忘れてるだけだろとふんでいたところ、家に帰って調べてみたら、どうもハッキング臭いということを経験的に感じました。

ドメインの更新はまだまだ先ですし、1週間前の検索エンジンのキャッシュはしっかり残っている、さまざまなブラウザで見ても状況が同じことを総合するとハッキングの可能性が大というわけです。

このブログやPCに関しても若干不穏な動きを感じる

上記のケースのうち前者のケースでは、運営者の方のPCの原因、僕のPCが原因、それぞれのサイト個体が原因ではないかと最初疑ってみたのですが、消去法により一応サイト個体の症状であるということが今のところの見立て(サイトの運営者の方の別のサイトや、僕の運営しているサイトに同様の動きがない)なのですが、実は僕自身のサイトに関しても少しですが、不穏な動きを感じています。

それについては以下についてまとめてみますので、同様の症状がある方はサーバーやWordPressのログインパスワードの変更、最新ファイルへの更新等を行うことをおススメします。

WordPressのセッション(ログイン)が切れた

これは一回だけなんですが、前述の被害の調査をしていた時期に、このブログの更新をしていたところ突然ログイン状態が解除されました。

いわゆるセッションが切れたわけですが、WordPress上で同じアカウントでログインを行うとセッションが切れるはずですので、現状ログインパスワードの変更とログインの履歴を管理するプラグインを使って監視をしています。

ただ、このセッションが切れたときはサイトそのものの反応が異常に遅くなっていたので、サーバーに原因があった可能性があります。

サイトの表示速度が異常に遅い、反応がない

この二、三日はあまり感じないのですが、一週間ほど前の22時から23時までの約一時間異常にサイトの反応が悪い日が何日か続きました。

現在の所そういった症状は見られないのですが、考えらる原因としてこのサイトや同居しているサイトにアクセスが集中している(F5アタックを仕掛けられている)、このドメインからメールの送受信が大量に行われている、このサイトのデータがあるロリポップのサーバーそのものが遅くなっている(同居している別のサイトが前述のような被害にあっている)ことが考えられるわけですが、色々調べてみたところ、一番最後の可能性しかありませんでした。

FTPソフト(FFFTP)の動きがおかしい

もう一つ決定的におかしいこととしてFTPソフトの動きがかなりおかしかったです。

僕の場合FFFTPという定番なフリーソフトを使っているわけですが、このソフトにはサーバーのパスワードの他に、ソフトにログインするためのマスターパスワードが存在するわけですが、突然このマスタパスワードが違うと出始めました。

ここがカナーリ怪しいわけですが、8年ぐらい前に大流行したGumblarというウイルス(マルウェア)は感染しているサイトを見るだけで感染し、サイト管理者のFFTTPのサーバー情報を抜き出し管理しているサイトすべてに感染コードを追加するというかなり悪質なものだったので、これとかなり動きとしては似ています。

一応サーバーのパスワードやFFFTPのマスターパスワードの変更をおこなったり、サーバー上のデータのチェックなどをしてみましたが、このあたりのチェックは必要だと思いますね。

以上が僕の周りで現状起こっている内容ですが、少しでも似たような動きをしている場合は同様の対策を早めにしておいたほうがいいでしょう。

おそらく同種の被害は広がっているはずなので、大々的なニュースになるのはまだ先だと思いますが脅威はすぐそこまで来ているはずです。

僕の管理しているサイト等も現在警戒レベルを最大に高めている状態です。

WordPressハッキングチェックまとめ

あまり詳しくない方のためにちょっとまとめてみます。

サーバー上に追加した覚えのないファイルが存在する

3年ぐらい前にも別のサイトで同様のケースがありました。

大体こういったファイルは、名前がアメリカなどの地名だったり、ファイルの中身が意味不明な数字の連続だったりします。

恐らくこの段階ではもう手遅れです。

ファイルが勝手に上書きされている

WordPressであればheader.phpなどのファイルが更新されていればハッキングの可能性が大です。

恐らく感染コードの追加や、別のページへリダイレクトするコードやバナーが追加されているはずです。

またサイトに見知らぬリンクやレイアウトなどが勝手に変わっていれば間違いないでしょう。

サーバーからメールの送受信が大量に行われている

よくある手口としてサーバーそのものの情報が洩れているので、どっぷり乗っ取られてサーバーをコントロールされている状態です。

症状としてはサイトが異常に遅くなったり、表示されないなどのケースがあります。

検索エンジンに表示された自分のサイトの情報がおかしい、別のページにリダイレクトされる

分かりやすい症状としては、サイトへのアクセスが異常に増えたり、いつもあるはずのアクセスが極端に減っている原因としてサイトのリダイレクトが考えられます。

サイトの改ざんが検索エンジンにも及んだ結果ですが、この場合、Googleなどは数日でサイトの異常な動きを検知してアクセスの制限や警告の表示を行いますので、いずれハッキングの被害などはGoogleなどからも連絡があることでしょう。