ハッキングされている可能性がありますとは? 犯罪者にコントロールされている状態です
このサイトは第三者によってハッキングされている可能性があります、というメッセージ、連想するのはトップページの書き換えではないでしょうか。WEB サイトのトップページが外国語での政治的な主張に書き換えられたなんてニュースが報じられることもあります。
しかし、当社が復旧作業で依頼を受けた案件では、そのような目に見える書き換えはなく、「自社の WEB サイトが本当に攻撃に遭っているのだろうか?」という相談から話がはじまったりします。実際に、どのような被害に遭っているのでしょうか?
この画像は「ハッキングされている可能性があります」が表示されたサイトの Google Search Console を写したものです。「ハッカーによって、サンプル URL のようなページが変更された可能性があります。通常ハッカーは、アクセス制限が不十分なディレクトリにアクセスし、既存のページを変更してスパム行為のある単語やリンクを追加します。」とあります。
この Google Search Console に書かれていることは、既存ページがスパム行為のあるページに改ざんされているというアドバイスです。上記画像を例にしますと、スケベな広告を表示するように改ざんされてしまっていて、訪れたユーザーを悪意のサイトへ誘導します。つまり、フィッシング詐欺(スパム広告)に WEB サイトが改ざんされてしまっています。
ただ、単なるフィッシング詐欺であれば、画面の「 URL の例」で指定されたページを修正して完了です… ところが、実在しないページが「 URL の例」に表示されていたり、大量のスパム広告が検索結果に表示されるものの、WEB サイトに一切保存されていなかったりします。WordPress のような CMS であればどの記事や固定ページ、テーマを確認しても改ざんが見つかりません。「自社の WEB サイトが本当に攻撃に遭っているのだろうか?」という相談が多いのも納得です。
トップページや既存ページが外国語で書き換えられてしまうような異常は発見されず、どこを探してもハッカーに汚染されたページが見つかりません。表向きは正常だけど、裏で悪さを行っている、そのような特徴が「ハッキングされている可能性があります」にはあります。
なお、当社が受けた案件は今のところフィッシング詐欺へのサイト改ざんが主体です。しかし、迷惑メールを発射するプログラムがフィッシング詐欺と合わせて設置されてしまっているケースもあります。そのような事から「ハッキングされている可能性があります」とは、貴社の WEB サイトが犯罪者にコントロールされていて、やりたい放題に悪用されている、と解釈して間違いないでしょう。
なぜフィッシング詐欺ページが見つからない? 外部リンクに細工があります
大量のスパム広告がどこかにあるはずですが、どこを探しても WEB サイトに一切保存されておらず、自社の WEB サイトが本当に攻撃に遭っているのだろうか?と半信半疑になります。なぜ大量にあるはずのスパム広告ページが見つからないのでしょうか?
そもそも、こういった悪さができるのは「.php」で書かれたプログラムが WEB サイトに埋め込まれているためです。既存ページを改ざんしてスパム広告を表示するのではなく、プログラムを使い流動的に生成して表示しています。具体的には、スパム広告の設定が入ったリンクからアクセスした場合のみ、このphpで書かれたプログラムが設定を解釈し、スパム広告を作って表示します。表現を変えると、URLだけでアクセスしても、リンクに埋め込まれているスパム広告の設定がないため、何も表示されません。
スパム広告の設定が入ったリンクを解釈して表示するだけのため、スパム広告を表示するプログラムは 1 つだけあれば足りてしまいます。もちろん、解釈して表示するため(保存などはしないため)、どれだけ探しても WEB サイトにスパム広告は存在しません。CMS であれば記事や固定ページにもありません。手品のタネ明かしとしては、スパム広告を表示する php プログラムが WEB サイトのどこかにあり、細工をされた外部リンクからアクセスしたときだけその php プログラムがスパム広告ページを生成して表示します。
なお、WEB サーバのアクセスログを見ると、検索エンジンのロボットがパラメータ付きでアクセスしているのが確認できます。外部にあるスパム広告の設定が入ったリンクから検索エンジンがアクセスしてきて生成されたスパム広告を登録しているのがわかります。
WEB サイトを見たユーザーにウイルスをばらまく? 可能性は残ります
表向きは正常だけど、裏で悪さを行っているというのが、「このサイトは第三者によってハッキングされている可能性があります」の特徴です。実際のところとして、フィッシング詐欺と迷惑メールの発射しか見たことがなく、WEB サイトを見たユーザーにウイルスをばらまくような事例を見たことがありません。
ただし、WEB サイトが犯罪者にコントロールされているため、ウイルスサイトに改ざんされてしまう可能性だけは残ります。もし自社の WEB サイトが被害に遭い、サイトの状態を確認されるためにアクセスする場合は、事前にウイルス対策ソフトを最新にしたり、パソコンの脆弱性をアップデートで解消しておくなど、しっかりとウイルス対策する必要がありそうです。
なお、ウイルスをばらまく改ざん被害に遭うと「このサイトはコンピュータに損害を与える可能性があります。」という表示に変わり、WEB サイトがブロックされます。こちらの表示の場合は WEB サイトに訪れたユーザーに、間違いなくウイルスをばらまきます。
ハッキングされる原因は? 見知らぬIPアドレスがあるかどうか
根拠があって、WEB サイトがハッキングされます。何も問題のない WEB サイトをハッキングすることはできません。
ハッキングの侵入経路になるのは、FTP パスワードの漏えい( WEB サイト担当者の PC がウイルス感染している)、WordPress のような CMS の場合は脆弱性のあるバージョンやプラグインを使っている、CMS のアカウントによく使われるパスワードを設けてしまっているに大別できるでしょう。
FTP パスワード漏えいの場合は、レンタルサーバの FTP ログイン履歴に見知らぬ IP アドレスが残ります。また CMS の脆弱性を悪用された場合は FTP でログインしませんので見知らぬ IP アドレスが履歴に残りません。FTP ログイン履歴に見知らぬ IP アドレスがあるかないかで改ざんの入り口が切り分けできます。
このサイトは第三者によってハッキングされている可能性がありますの復旧方法
スパム広告を表示するプログラムが WEB サイトのどこかにあります。WEB サーバの公開ディレクトリにあるファイルを確認し、削除します。それとその他にもハッカーが設置した不正なプログラムがあれば削除します。これでフィッシング詐欺を止めることができます。
そもそもハッカーにコントロールされてしまった(スパム広告を表示するプログラムが埋め込まれてしまった)不正アクセスの入口があります。是正して再発をブロックします。
1. スパム広告を表示するプログラムの削除の注意点
WordPress のような CMS の場合はシステムが php で構成されているため、ほんのちょっとした改ざんをはさむだけでこういった悪さができてしまいます。既存のファイルに不正なプログラムが挿入されている場合(改ざんの場合)もあり、必ずしもスパム広告を表示するプログラムが単体であるわけではありません。
WEB サイトの改ざん被害のほとんどで複数の攻撃を受けていたりします。スパム広告を表示するプログラムだけではなく、乗っ取り(外部から遠隔操作)するための不正なプログラムや迷惑メールを発射する不正なプログラムも設置されてしまっています。それら不正なプログラムをすべて除去します。
2. 不正アクセス侵入経路(脆弱性)の対策について
FTP ログイン履歴に見知らぬ IP アドレスがあるかないかで改ざんの入り口が切り分けできます。見知らぬ IP アドレスがある場合は、パソコンがウイルス感染しています。今後はウイルス対策をしっかりと行って予防してください。もし見知らぬ IP アドレスが無い場合は CMS などに脆弱性があります。解消して予防します。これら不正アクセスの原因になる侵入経路をすべて点検し、欠陥があればすべて対策して再発を防ぎます。
最後の工程として Google Search Console へ申請すると「このサイトは第三者によってハッキングされている可能性があります」の表示は 3 日程度ですぐになくなります。ところが、1 か月間くらいは自社名での検索結果にアダルト商品などスパム広告ページが表示され続けます。こちらは消えるまで待つしかありません。ちなみに、 Google Search Console へサイトマップを登録していない場合はさらに消えるまでの時間がかかります。念のため、サイトマップを登録してください。
その他、外部にあるスパム広告の設定が入ったリンクだけは残ってしまいますが、スパム広告を表示する php プログラムが WEB サイトから削除されていれば問題ありません。もちろん、検索エンジンもそういった無効なリンクを評価しないため、外部にスパム広告の設定が入ったリンクが残っていても心配ありません。
ハッキング対策は、継続して脆弱性対策を
何も問題のない WEB サイトをハッキングすることはできません。ハッキングされてしまった WEB サイトは、欠陥のあるプログラムを使っていたり、数字だけのパスワードを運用しているなど、 不正アクセスを許してしまった理由が必ずあります。
再発防止策として、復旧作業時に脆弱性を潰します。しかし、時間が経つとまた脆弱性は発生してしまいます。復旧した後も脆弱性を解消できるように、担当を決めるなどメンテナンスの仕組みを構築する必要があります。ハッキング対策は、継続して脆弱性対策を行うことが大切です。
専用サーバーの注意点
1台のサーバーを借りて、ユーザーが自由に管理、運用できる契約のサーバーがあります。よく専用サーバーなんて呼びます。レンタルサーバー会社のほうでメンテナンスしている場合は問題ありませんが、ユーザーがメンテナンスする場合はサーバーのプログラムに脆弱性があるかもしれません。脆弱性があれば、そこを攻撃され改ざん被害に遭ってしまいます。WEB サイト全体を自由に設計できるメリットがある契約ですが、脆弱性だけは残らないようにメンテナンスが必要です。
iPhone やスマホでアクセスすると?
復旧作業時によく質問を受けますが、「このサイトは第三者によってハッキングされている可能性があります。」の WEB サイトを iPhone やスマホで開いたらどうなるのでしょうか?またパソコンでアクセスしたらどうなるのでしょうか?
WEB サイトを開いても、表向きはまったく異常がありません。トップページや既存ページを開いても、正規の WEB サイトが表示されます。実際のところとして「自社の WEB サイトが本当に攻撃に遭っているのだろうか?」という相談が多いくらいです。ただし、例外もあるかもしれません。ハッカーがコントロール可能な状態のため、ウイルスサイトに改変されてしまう可能性だけは残ります。
もしウイルスサイトに改変されてしまった場合は、ホームページにアクセスしてきたデバイスにウイルスをダウンロードします。しかし、iPhone もスマホも野良アプリをインストールできない設定がデフォルトですので、ウイルス被害は心配ありません。パソコンに関しては脆弱性があると(ブラウザや OS のバージョンが古いなど)、高い確率でウイルス感染します。