近年、wordpressを狙ったサーバーウイルス「マルウェア」が大流行しています。マルウェアはたしかに以前から猛威を奮ってはいたものの、まだそこまで一般ユーザー層に拡大しているわけではない、という印象でした。が、ここ1年くらいは、企業や大手メディアだけでなく個人のブログやサイトなども被害が出るようになってきています。
現状ですと、一度マルウェアに感染してしまうと「これ!」といった有効な手立てはないため、THE・END感が半端ないです。今回は私の友人のプロフェッショナルエンジニアから聞いたマルウェア対策と防止策についてお伝えしてまいります。
「マルウェア」という愉快犯
そもそも、「マルウェアってなに?」というお話からしていきます。今年に入ってから私の周りでもブログ運営などされている方から「マルウェアに感染した!ヤバイ!」みたいなお話をよく聞くようになりました。
マルウェアというのはWordPressを狙った新手のウイルスで、現状これといった手立てがないので、一度感染すると本当に厄介です。感染した場合、素人にはほぼ復旧は不可能で、エンジニアなどの専門家にお願いすれば可能だそうです。
とはいえこれもウイルスによる被害の大きさによるそうで、「確実に復旧が可能」というような確証はまったくありません。被害が小さい場合は自分で対処できるときもあるし、場合によっては使いものにならない(全初期化の必要あり)ということもあるんだとか… 怖いですね(´;ω;`)
じゃあ、マルウェアさんは一体なにを目的にそんな暴れてるのか?という疑問が生じるわけですが、ハッキリ言います。
自己顕示欲との見方が強いそうです。「…。」って感じですが、これ以上あんまり悪くいうとこのブログも狙われる可能性があるのでやめておきますね。
今回情報提供をしてくれた知り合いのエンジニアは、マルウェア感染したブログをウイルス除去をGW最終日に計60,000個行ったそうです^^;その方によりますと、
[yoko2 responsive][cell]
[/cell][cell]
[/cell][/yoko2]
らしいです。ということで、ふたりであれこれ話し合った結果、
「ただの悪いヤツ」
という結論に達しました。ただの悪いヤツに狙われたただの運の悪い人にならないためにも、これからご紹介する対策を事前に行っておきましょう!
マルウェア感染が疑われる際のサーバー会社からの連絡事例
ただ実際問題として、サーバーエラーが起きたときに「これがマルウェアかどうか」なんて、普通なかなか分からないですよね。
なので、今回は一例として、サーバーエラー(表示エラー)が起きてサーバー会社から連絡があった際に、マルウェア感染が疑われるケースをご紹介しておきます。参考までに、、、
「お客様のサーバーアカウントにおいて、 運用中のウェブサイトにて不審な通信が確認されている旨、 第三者より報告が寄せられました。
▼報告のあったURL
——————————————————-
http[:〜〜〜〜〜[.]com
※不正なコード等が挿入されている可能性があるため、上記URLへ直接アクセスなさいませんよう、ご注意ください。
——————————————————上記を元にセキュリティ調査をいたしましたところ、【不審な外部への通信が検出された】との調査結果が表示されております。
これを受け、当サポートにてセキュリティ調査を行いましたところ、お客様がご利用のプログラムにセキュリティ上致命的なバグ(脆弱性)が存在し、 当該脆弱性を第三者に悪用されてしまった可能性が非常に高い状況でございました。
そのため、事後のご案内となり大変恐縮でございますが、 緊急措置として下記制限を実施しております。
▼サポートにて実施した制限内容
——————————————————-
・当該ドメイン名に対する緊急的なWebアクセス制限を実施
※上記処理に伴い、Webアクセスを行うと403エラーとなる状況です。
こういった連絡があった場合には、要注意です。必ずしもマルウェア感染に限ったケースではないのですが、
[list class=”li-yubi”]
- 不審な外部への通信が検出された
- 脆弱性を第三者に悪用されてしまった可能性が非常に高い
- Webアクセスを行うと403エラーとなる状況
[/list]
上記3項目の文言確認された場合、マルウェア感染を疑う余地があると考えておきましょう。いわゆるハッキングですね。兎にも角にも「403エラー」には本当に気をつけてくださいね。
さてここからは、実際にWordpressがマルウェアに感染した場合のリスクと対処法についてお話していきます。
WordPressがマルウェアに感染したら…?
ではでは、実際にWordpressがマルウェアに感染したらどうなるか?というと。サーバー会社の方針にもよりますが、基本的には「一度攻撃されたドメインは、初期化しないとサイトが表示されない」という場合がほとんどです。
つまり、なにかしらの方法でドメインを初期化しない限り、検索エンジン上でサイトが表示されることはないということです。でもご安心ください。ドメイン初期化をすることでSEOパワーも初期化される…ということはありません。
つまり、マルウェア感染の疑いがある場合、一番スムーズに解決できるのがこの「ドメイン初期化」というパターンです。
【エックスサーバー】ドメインの初期化方法
ということで、ドメインの初期化方法を解説いたします。
こちらは非常に簡単。解説はエックスサーバーとなっておりますが、他社様でも大きく変わりはないはずなので、参考にしてみてください。
まずは当該ドメインを保有するサーバーパネルへログイン。続いて「ドメイン設定」へと進みます。
ドメイン設定>初期化をクリックし、
「ウェブ領域・設定の初期化」を選択し、確認をクリック。これでドメインの初期化が完了します。
ここまでできたら、ドメイン内の全データが初期化されますので、あらかじめとっておいたバックアップデータを入れ込んでいくだけ。これでマルウェアに毒されたデータを回復させることができます。
最もやばいパターン
さて、実はこのやり方で直る場合は一番幸福なパターンです。マルウェア怖い!といっても現状、マルウェアは基本的には「ドメインの初期化」で大抵復活を遂げます。
しかしそのためには、ドメインを初期化したあとに入れ込むための“マルウェアに感染する前のデータ”が必要なのです。
つ・ま・り・ぎゃ・く・に・い・う・と。
バックアップデータがないとまじでやばいということです(TдT)
上述したような403エラーが起きて、初めてバックアップデータをとる方が多いようですが、エラーが起きてからバックアップをとってもそれはすでに感染したデータですから、あまり意味がありません。
とはいえマルウェア感染の場合はほとんどが「セキュリティの弱いプラグイン」からの侵入なので、場合によっては感染後のバックアップデータでも、記事データそのものは正常な可能性もあります。ということで、感染後でも何もしないよりはマシかな…という感じです。
いずれにせよ、Wordpressの運営者であればかならず定期的なデータのバックアップをとるようにしておきましょうね!ちなみにデータのバックアップは「BackWPup」がオススメです。
バックアップデータをとり忘れていた場合の対処法を3つ紹介
では「バックアップをとっていない状態でマルウェアに感染してしまった」というときの対処法をいくつか紹介しておきます。ただこの場合、感染状況によって効果があるものとないものが出てくるそうなので、上から順番に試してみる…という形をとってもらえたらと思います。
1.ドメイン初期化&記事データのみ移行
基本的に、マルウェアはプラグインの脆弱性を狙って侵入してきます。
が、「ドメインの初期化で解決する」ということもあるようなので、場合によってはサーバーごと取り替える必要はないということになります。運がよければ感染後のバックアップデータでも、とりあえずバックアップをとっておけば、記事データだけでも復元する可能性があるということです。
ウイルスの強度によっては、感染時にすでにファイルの内容を変えられていたり、記事の内容を書き換えたりされている場合もあるので、サーバーごとめちゃくちゃになっている可能性もあります。
ということで、ひとまずは「ドメイン初期化&記事データのみ移行」で復元するかどうか、試してみてください。
2.専門のエンジニアにお願いし、ウイルス除去作業を行ってもらう
こちらもウイルスの強度によりますが、人の手で除去可能な場合もあります。その際には、マルウェアを駆除した経験のある専門エンジニアにお願いしてやってもらうと良いでしょう。
できれば知り合いなどの伝手で依頼をするのが好ましいですが、もしもいないという場合にはクラウドソーシングやココナラ等で依頼をかけてみましょう。
基本的に、価格は「除去にどれくらい時間がかかったか」によりますが、相場感としては1人工およそ2万円前後をみてもらえればと思います。
3.サーバー移行
上述したとおり、マルウェアはファイルサーバーのなかをグチャグチャにしてしまうので、ドメイン初期化だけでは直らないということもあり得るのです。その場合には、ドメイン初期化プラス「サーバー移行」といって、ドメインはそのままでサーバーだけ移行するという手立てをとらざるを得ません。
ちなみにサーバー移行は素人にはすこし難しいです。私は途中で諦めて友人に懇願してやってもらった経験があります…。
ここまでくるともう結構つらいですが、ここで諦めて「ドメインを新たに取得する」という選択肢をとると、これまで培ってきたSEOパワーがすべてゼロからになります。
ひとまず、がんばってドメインを保持しておくことができれば、SEOパワーだけは維持できるので、がんばりましょう!
もしも運営期間が短かったり、そこまでSEOパワーにこだわっているわけではないということであれば、もはや初めからすべてをやり直した方が良いということにもなります。
というわけで、判断は慎重に行っていきましょう。
4.完全に最初からやり直し
最悪の場合、サーバーもドメインも最初っから取り直しです。ただし、なんとなく色々な状況を加味してみると、冷静になってひとつひとつ対処してみればそこまでしなくても復旧できそうな気がしなくもないので、1〜3の手順をまずはしっかり実践してみてください。
何度も言いますが、マルウェアは「どれくらい感染被害が出ているか」によってとるべき処置が変わってきます。そのためまずは軽いものから行っていただいて、徐々に重い作業へと移っていくことをオススメします。
サーバー移行などは私もやったことがありますが、素人には結構難しい作業なので、あまり無理して自力で対処しようとしすぎずに、できれば初期状態のままでエンジニアにお願いしちゃった方が最終的にはやく復旧できるようです。
ここらへんの絶妙な判断を誤らないよう充分に気をつけてみてくださいね。
有効なマルウェア感染防止策
1.とにもかくにも定期的なバックアップを
ここまで読んでいただいた方には大体理解していただけていると思いますが、結局のところWordpressを狙ったマルウェア感染の最も恐ろしいところは、「データバックアップをとっていなかった」というところにあります。
ウイルス自体は感染したからといって個人情報がどうにかなるというわけではないので。(Wordpressに個人情報を登録している人などあまりいないという意味で)
なので、たとえマルウェアに感染していても最新のバックアップデータさえあれば、ドメイン初期化しちゃって感染以前のデータをホイッと入れちゃえばすぐに復旧するわけで。そんなに騒ぐこともなく解決することができてしまいます。
というわけで、とにもかくにも定期的なデータバックアップを忘れないようにしておきましょう。オススメは「BackWPup」の自動定期バックアップ機能です。
2.こまめなバージョンアップ
マルウェアの感染ルートは脆弱性の高いプラグインからであると言われています。そのため、現状において最も有効な手立てとししては、こまめな「WordPressのバージョンアップ」と「各種プラグインのバージョンアップ」です。
特に、使っていないプラグインや、運営元がもう何年間もバージョンアップをしていないプラグインがあれば、はやめに消去しておきましょう。使わないプラグインをWordpressに残しておくことは、ウイルスの感染経路を自ら増やしている行為に他なりません。
3.その他にもすぐにできるセキュリティ対策を万全に。
今回は、Wordpressに限定したマルウェアウイルスの対策についてお話をして参りました。が、昨今ではPCやスマホそのものがマルウェア感染することもあるようです。
恐ろしいですね……!
念には念を入れておきたい!という方は、PCやスマホそのものにNortonなどのセキュリティソフトを導入しておくと良いでしょう。ちなみに私もNortonを入れています。
あまり知識のない方でもすぐにできるセキュリティ対策に関しては、以下の記事にて解説をしておりますので、こちらもぜひご参照ください。
