2021年3月
被害を受けたウェブサイトについて
レンタルサーバ + Wordpress
改ざんに気付いたきっかけ
①検索結果にトップページが掲載されなくなった。
②(覚えのない)大量のページが存在した。
以上をきっかけに、弊社に相談がありました。
※弊社が受けた依頼内容は該当サイトの状況を確認して問題解決をアドバイスすることです。
状況を確認した順序
①Google検索結果の確認
競合が多い社名でしたが、数ヵ月前まで検索結果の1ページ目(10位以内に)表示されていたので、指摘通り、検索結果に表示されていない状況を確認しました。
②大量のページの存在の確認
Google検索で[site:]+URL(ドメイン名)を入力して確認しました。
記入例:site:https://〜
ここまでで、依頼時に聞いた事象を実際に確認しました。
①検索結果に表示されない ②大量のページの存在
被害の詳細を確認
ウェブサイトの乗っ取りと改ざんにより作成されたページの数に驚かされました。実際にどれだけ利用されてしまったのか、GoogleAnalyticsで実際にクリックされたクリック数を確認しました。(下表参照)
改ざんされたウェブサイトでプログラムによって生成されたページは10万ページ以上、検索で表示されたページは約100ページ、クリックされた回数も100回近くに及ぶことが分かりました。
GoogleSearchConsoleで詮索パフォーマンスを確認
下図で改ざんが行われた時期がはっきり分かります。
2021年1月下旬に乗っ取られて不正利用されていたことがうかがえます。
「パンくずリスト」でも同じ時期に警告が出ていました。
サーバ(レンタルサーバ)にログインしてログイン履歴を確認しました。
ログイン履歴に不審な点は見られませんでした。
続いて、転送量を確認。前述の時期と重なります。
被害状況
①ウェブサイトが改ざんされ、大量にページが作成された。
②作成されたページをクリックすると強制的に飛ばされる(リフレッシュされる)。
【Youtube版】
00:00 被害を受けたウェブサイトについて
02:15 改ざんに気付いたきっかけ
①Googleの検索結果に表示されない
②大量のページが存在する
03:10 状況を把握した順序
①Google検索結果の確認
04:00 ②大量のページの存在の確認
05:30 アクセス解析(GoogleAnalytics)で確認
07:00 ③被害時期の特定
GoogleSearchConsoleを確認
パンくずリストの警告
08:40 サーバにログイン
ログイン履歴の確認
09:15 転送量を確認
10:15 被害状況を特定
10:40 フィッシングサイトの確認「buybybee.top」
11:45 復旧の可能性
Wordpressにログインできない
14:50 改ざんされた時期の問題
17:55 データの救出
19:00 サーバ内のデータを削除
18:50 Wordpressを再インストールのはずが…
消しても消しても現れるファイル
20:20 サーバのリセットを依頼
22:10 不正アクセスの原因推定
フィッシングサイトを確認「buybybee.top」
Googleで検索すると、フィッシングサイトとして数々の報告を目にすることができます。
復旧の可能性
復旧を試みるため、まずはWordpressにログインしようとしましたがログイン画面が表示されない不具合が発生しました。おそらく加害者が意図的に変更したと思われます。
改ざんされた時期の問題…
該当ウェブサイトでは、Wordpressのプラグインを利用してバックアップを定期的に作成する設定でしたが、前述の時期の以前にも、実は不審なページの存在を認識していたことを思い出しました。
数年前にウェブサイトの存在をクライアントから聞いて知り、依頼を受けてGoogleAnalyticsとGoogleSearchConsoleを設定しました。設定後数日して稼働しているかどうかの検証を行った際、GoogleSearchiConsoleの検索パフォーマンスのクエリ(どのような単語で検索されているか)の一覧の中に、まったく事業とは関係のない単語を発見しました。今思えばこの時すでに不正アクセスを受け、改ざんをされてページを生成されていたのだと思います。
つまり、次の問題点が浮上してきました。
【問題点】
バックアップデータを利用してWordpressを復元することにリスクはないのか?
協議の結果、Wordpressのプラグインによるバックアップデータを利用して復旧するのは諦めました。
データを救出
ウェブサイトの再構築のため、主なデータのコピーを試みました。
①Wordpress内の画像ファイルを保存
②正規のページのテキストと画像をMicrosoftWordなどにコピー&ペーストして保存
サーバ内のデータを削除…
そして、サーバ内のルート以下すべてのデータを削除して、
WordPressを再インストールのはずが…
消しても消しても現れる2ファイルが存在したのです。
サーバのリセットを依頼
結局、レンタルサーバの契約元にサーバのリセットを依頼しました。
依頼から実行まで、3日程度かかりました。
【Youtube版】
00:00 被害を受けたウェブサイトについて
02:15 改ざんに気付いたきっかけ
①Googleの検索結果に表示されない
②大量のページが存在する
03:10 状況を把握した順序
①Google検索結果の確認
04:00 ②大量のページの存在の確認
05:30 アクセス解析(GoogleAnalytics)で確認
07:00 ③被害時期の特定
GoogleSearchConsoleを確認
パンくずリストの警告
08:40 サーバにログイン
ログイン履歴の確認
09:15 転送量を確認
10:15 被害状況を特定
10:40 フィッシングサイトの確認「buybybee.top」
11:45 復旧の可能性
Wordpressにログインできない
14:50 改ざんされた時期の問題
17:55 データの救出
19:00 サーバ内のデータを削除
18:50 Wordpressを再インストールのはずが…
消しても消しても現れるファイル
20:20 サーバのリセットを依頼
22:10 不正アクセスの原因推定
不正アクセスの原因推定
直接原因ではないですが、いくつか特徴的な点を挙げてみます。
私も以下の点について私が管理するウェブサイトを再確認しました。
①WordpressのログインIDとパスワード
・ログインに使用するメールアドレスが推測可能なアドレスであった。
・推測しやすいパスワードであった。
・ウェブサイトを制作した会社の担当者のログインアカウントがそのまま残されていた。
②ウェブサイト管理の体制
・サーバ管理者不在 → ウェブサイトを制作するも中途で放置した状態でした。
今後に活かす学び
①定期的なバックアップデータの(サーバ外への)保存
②WordpressのログインIDとパスワードのセキュリティ強化
とにかく改ざんされないことが大切です
以上。