security

このサイトは第三者によってハッキングされている可能性がありますの対策と復旧方法

WEB サイトがフィッシング詐欺に悪用されています!今すぐ復旧を!

対処法は、WEB サイトの改ざん復旧と予防です

このサイトは第三者によってハッキングされている可能性があります

Google(Yahoo!などのGoogle検索エンジンを利用しているサイトも含めて)の検索結果に「このサイトは第三者によってハッキングされている可能性があります」が表示される場合は、その WEB サイトがハッカーに乗っ取られています。具体的にはショッピングやアダルト、人気のワードを使ったスパム広告のページが大量に検索エンジンに登録されてしまっており、偽ネット通販などのフィッシング詐欺に悪用されています。

もし「大量」であるなら見つけて削除するのは簡単そうに思えます… ところが、大量のスパム広告が検索エンジンに登録されているものの、大量のページが WEB サイトに保存されていなかったりします。そこで原因がわからず放置してしまうと、存在しないスパム広告がどんどん検索エンジンに登録され続けてしまいます。フィッシング詐欺に悪用されるだけではなく、自社名などで検索したときにアダルト商品のページが表示されたり、輪をかけて被害が大きくなっていきます。

そして「このサイトは第三者によってハッキングされている可能性があります」の対処法は、WEB サイトの改ざん復旧と予防です。その原因と対策も含めてレポートします。

フィッシング詐欺に悪用された原因について

その WEB サイトがハッカーに不正アクセスされ、WEB サイトの改ざん被害にあっています。

WEB サイトの改ざん被害というと、ウイルスサイトに書き換えられてしまう事件が有名です。WEB サイトにアクセスしてきたユーザーに、金銭被害に発展するようなウイルスがばらまかれます。しかし「このサイトは第三者によってハッキングされている可能性があります」は、ウイルスをばらまく事はしません。ショッピングやアダルトなどのスパム広告を使い、最終的にはクレジットカード番号を盗み聞くようなフィッシング詐欺に悪用されます。

ちなみに、この画像は「このサイトは第三者によってハッキングされている可能性があります」が表示されたサイトの Google サーチコンソールを写したものです。「ハッカーによって、サンプル URL のようなページが変更された可能性があります。通常ハッカーは、アクセス制限が不十分なディレクトリにアクセスし、既存のページを変更してスパム行為のある単語やリンクを追加します。」とあります。

Google サーチコンソールを写した画面

つまり、既存ページが改ざんされているというアドバイスなのですが…、実在しない URL が登録されていたり、大量のスパム広告が検索エンジンに登録されているものの、大量のページが WEB サイトに保存されていなかったりします。WordPress のような CMS であればどの記事や固定ページ、テーマを確認しても改ざんが見つかりません。スパム広告はどこにあるのでしょうか?

解決のイメージ画像

この画面にある「URLの例」をクリックしても実在しません。こういった悪さができるのは「.php」で書かれたプログラムが WEB サイトに埋め込まれているためです。そしてスパム広告の設定が入ったリンクからアクセスした場合のみ、このphpで書かれたプログラムが設定を解釈し、スパム広告を作って表示します。表現を変えると、URLだけでアクセスしてもスパム広告の設定がないため、何も表示されません。

スパム広告の設定が入ったリンクを解釈して表示するだけのため、スパム広告を表示するプログラムは 1 つだけあれば足りてしまいます。もちろん、解釈して表示するため(保存などはしないため)、どれだけ探しても WEB サイトにスパム広告は存在しません。CMS であれば記事や固定ページにもありません。手品のタネ明かしとしては、スパム広告を表示する php プログラムがどこかにある、これがフィッシング詐欺に悪用されている原因です。

なお、WEB サーバのアクセスログを見ると、検索エンジンのロボットがパラメータ付きでアクセスしているのが確認できます。外部にあるスパム広告の設定が入ったリンクから検索エンジンがアクセスしてきてスパム広告を登録しているのがわかります。

このサイトは第三者によってハッキングされている…、からの復旧方法

スパム広告を表示するプログラムが WEB サイトのどこかにあります。WEB サーバの公開ディレクトリにあるファイルを確認し、削除します。それとその他にもハッカーが設置した不正なプログラムがあれば削除します。これでフィッシング詐欺を止めることができます。次に、そもそもスパム広告を表示するプログラムが埋め込まれてしまった原因(不正アクセスの侵入経路)があります。是正して今後の侵入をブロックします。

1. スパム広告を表示するプログラムの削除の注意点

WordPress のような CMS の場合はシステムが php で構成されているため、ほんのちょっとした改ざんをはさむだけでこういった悪さができてしまいます。既存のファイルに不正なプログラムが挿入されている場合(改ざんの場合)もあり、必ずしもスパム広告を表示するプログラムが単体であるわけではありません。

WEB サイトの改ざん被害のほとんどで複数の攻撃を受けていたりします。スパム広告を表示するプログラムだけではなく、乗っ取り(外部から遠隔操作)するための不正なプログラムや迷惑メールを発射する不正なプログラムも設置されてしまっています。それら不正なプログラムをすべて除去します。

2. 不正アクセスの侵入経路の対策について

不正アクセスの侵入経路になるのは、FTP パスワードの漏えい(クライアントPCがウイルス感染している)、WordPress のような CMS の場合は脆弱性のあるバージョンやプラグインを使っている、CMS のアカウントによく使われるパスワードを設けてしまっているに大別できるでしょう。専用サーバの場合はサーバそのものに脆弱性がないかも調査する必要があります。これら不正アクセスの原因になる侵入経路があればすべて対策して再発を防ぎます。

スパム広告を表示する php プログラムを削除して申請すると「このサイトは第三者によってハッキングされている可能性があります」の表示は 3 日程度ですぐになくなります。ところが、1 か月間くらいは自社名での検索結果にアダルト商品などスパム広告ページが表示され続けます。こちらは消えるまで待つしかありません。ちなみに、サイトマップを登録していない場合はさらに消えるまでの時間がかかります。念のため、サイトマップを登録してください。

その他、外部にあるスパム広告の設定が入ったリンクだけは残ってしまいますが、スパム広告を表示する php プログラムが WEB サイトから削除されていれば解釈できず問題ありません。もちろん、検索エンジンもそういった無効なリンクを評価しないため、外部にスパム広告の設定が入ったリンクが残っていても心配ありません。