サイトが乗っ取られてしばらくすると検索結果に表示されなくなるうえ詐欺サイトという表示がされてしまいます

nisesitehyouji200.jpgついに「偽のサイトにアクセスしようとしています」という表示がされてしまいました。このサイトは、2週間ほど前に不正アクセスにあい乗っ取られてしまったようです。その後、不正な内容が表示されていたようです。
しばらくすると、グーグルクロームというブラウザでアクセスすると「偽のサイトにアクセスしようとしています」という表示がされて、ページの表示ができなくなりました。
また、確実にヒットしていた社名やブランド名で検索しても検索結果から表示されなくなってしまっていました。

乗っ取られてしまったサイトは詐欺サイトという表示になります

▼スマホでの表示
sakusmp20211204.jpg

スマホで該当サイトのURLを開こうとすると「詐欺Webサイトの警告」という表示がされています。サイトの中身をみることはできません。

▼PCのブラウザ(グーグルクローム)での表示
wpkikenakuihyouji20211204.jpg

PCでもほぼ同様の表示です。「偽のサイトにアクセスしようとしています」という表示がされています。

「詳細」をクリックすると

「当URL」では最近、セーフ ブラウジングにより、フィッシング行為が検出されました。フィッシング サイトは、他のウェブサイトになりすましてユーザーを欺こうとするサイトです。

検出の問題をご報告ください。安全でないこのサイトにアクセスする場合は、セキュリティ上のリスクがあることをご承知おきください。

という表示がされます。

この段階で、普通の人はアクセスしてくれませんが、当事者は大慌てです。上記の太字にしている「安全でないこのサイトにアクセス」をクリックすると、ホームページを開くことができます。

▼表示されたホームページfuseihyoujisaretasite640.jpg

表示はされましたが、URL表示の左横に「危険」という注意マークが強く表示されています。

また別のページのいくつかは乗っ取られてしまい、まったく別の詐欺商品が掲載されていたりしました。

▼詐欺と思われる掲載ページの一例
fuseiwebrei.jpg

上記の商品は当サイトにまったく関係がありません。埋め込まれてしまった不正なページです。こんなページが多数ありました。

ここから回復させるのはたいへんです。

乗っ取られた原因と対策をしっかりと行う

サイトを乗っ取られてしまったのは、いろんな原因が考えられます。

当サイトの場合は、最近流行しているMovable Typeの「XMLRPC API」の脆弱性が原因ではありませんでした。Movable Typeは使っていませんし、関連するファイルもありませんでした。

基本的に純粋なWordPressで構築されているサイトでした。すでにページの表示ができていなくて、管理画面にログインができない状況でした。

不正ログインの原因

となると推測される原因は
・MySQLが5.7になっていないため脆弱性があった
・WordPressのアップデートが最新版にアップデートされていなかった
・プラグイン関係がアップデートされていなかった
・ログインパスワードが漏洩して乗っ取られた
・使っているノートパソコンにウイルスが侵入しパスワードが漏洩した
などの脆弱性から不正ログインされた可能性が高いです。

これらについては今更ですがきちんと対策をしなければなりません。

現状分析をする

FTPでサーバに入り調査してみたところ、不正ファイルがうじゃうじゃありました。
・不正な「.htaccess」がフォルダごとに埋め込まれていた
・不審なphpファイルが多数埋め込まれていた

そこで、不正なファイルをFTPで除去しました。
PHPファイルは除去できましたが、「.htaccess」は削除しても自己増殖するようでゾンビのように蘇ってきます。おそらく多数の不正ファイルが自動的に不正なファイルを復元するように仕込まれているのでしょう。

不正ファイルは数百ありますので、手動で削除しているうちに復元してきますので埒が明きません。

こうなると不正ファイルを除去する方法は別の手段を考えないと行けないですね。

また、このサイトのWordPressのバージョンは古かったのと、MySQLのバージョンもサポートが切れた5.5のままでした。

不正なファイルが入っているフォルダはFTPで「444」と属性を変更して、自動増殖できないようにしました。またフォルダ名も変更して外部からのアクセスがわかにくいようにしておきました。

→後日追記

属性変更は「444」よりも「000」のほうが安心です。そのフォルダにはまったくアクセスができなくなりますが不正ファイルは完全にストップできます。

さくらインターネットのヘルプには
https://help.sakura.ad.jp/360000044181/
にて以下のように書かれています。

不正ファイル設置を検知した場合、確認できる限りのすべてのファイルのパーミッションを "000" に設定し、アクセスができないようにします。
被害の拡大が予想される場合は、ドキュメントルート(/home/アカウント名/www)のパーミッション自体を "000" に設定する場合があります。

まずWordPressで表示できるように復元する

今回はサーバ上にバックアップファイルが残っていましたのでそれを使いました。WordPressの「BackWPup」というプラグインが自動的にサーバ内のファイルを圧縮してバックアップを残してくれていました。今回はこのプラグインに救われましたね。

不正ファイルが侵入する前の段階のバックアップファイルがあったので解凍し、あらたにFTPでアップロードしました。

このあと、無事にWordPressでログインすることができました。

その後したことは
・すべてのパスワードを変更(強化)
・MySQLを5.5から5.7にアップデート
・WordPressを最新版にアップデート
・WordPress内のプラグインをすべてアップデート
です。

とりあえず、ページは表示できるようになりました。

しかし、まだグーグルの検索結果では表示されなくなっています。

サーチコンソールから再審査の請求をする

グーグルのヘルプに該当記事があります。

以下は
https://support.google.com/chrome/answer/99020
からの引用です。

所有するサイトまたはソフトウェアが危険または不審と判定された場合

サイト所有者の場合:
所有しているサイトが危険なサイトまたは偽のサイトと判定された: 手順に沿って問題を修正し、再審査をリクエストしてください。
所有しているサイトに「もしかして:」「このサイトは正しいですか?」「偽のサイトにアクセスしようとしています」などの警告が表示される : 手順に沿って問題を修正し、再審査をリクエストしてください。

ソフトウェアの所有者の場合:
提供しているソフトウェアが Chrome によって問題のあるダウンロード プログラムと判定された: ダウンロード ファイルのマルウェアに関する問題を解決する方法をご確認ください。

上記の「再審査をリクエストする」のリンクは
https://developers.google.com/web/fundamentals/security/hacked/request_review
です。

以下、引用です。

実施する対策

1. 前提条件
再審査をリクエストする前に、以下の手順を行ったことを確認します。

Search Console でサイトの所有権を確認した
サイトからハッカーによる被害をクリーンアップした
脆弱性を修正した
正常なサイトをオンラインに戻した

2. ページが利用可能で正常であることを再確認する
念のため、Wget または cURL を使って、サイトのページ(ホームページやハッカーによって改ざんされた URL など)を表示し、現在は正常であることを確認します。 正常であり、サイトの他のページも同様であるとの確信があれば、再審査をリクエストできます。

注: ページが正常であることを確認するには、ページが Googlebot によってクロールできる状態になっている必要があります。 noindex robots メタタグやディレクティブによってロボットのアクセスやインデックス登録がブロックされていないか確認してください。

3. 再審査をリクエストする
再審査をリクエストする前に:

問題が本当に修正されていることを確認します。 問題が残っているのに再審査をリクエストした場合、サイトが危険であると表示される期間がさらに長くなってしまいます。

どの問題について再審査をリクエストするのかを再確認します。再審査は、サイトに起きている問題に応じた特定のツールで行われます。以下のチャネルをご確認ください。

A. ハッキングされたサイト
Search Console の Manual Actions レポートにハッキングされたサイトについての通知が表示された場合:

クリーンアップが完了したら再度 Manual Actions レポートを開き、問題がサイト全体の一致または部分一致のどちらであるのかを確認します。
[Request a review] を選択します。

リクエストを送信するには、サイトをクリーンアップするために行ったことの詳細情報を入力する必要があります。 ハッキングによるスパムの各カテゴリについて、サイトをどのようにクリーンアップしたかを説明する文を入力できます(例: 「コンテンツ インジェクション タイプのハッキング URL については、スパム コンテンツを削除し、古くなったプラグインを更新して脆弱性を修正しました」)。

実際に該当サイトのアカウントでサーチコンソールにログインします。

するとやはり警告がありました。

searchconsolesaishinsa.jpg

上記の画面から「審査をリクエスト」をクリックします。このように申請して、あとはグーグルからの沙汰を待つのみです。

このようなことにならないよう、みなさんはセキュリティ対策にはくれぐれもご注意ください。


この記事を書いた遠田幹雄は中小企業診断士です

中小企業診断士:遠田幹雄の顔写真遠田 幹雄(とおだ みきお)
 
経営コンサルティング企業の株式会社ドモドモコーポレーション代表取締役。石川県かほく市に本社があり金沢市を中心とした北陸三県を主な活動エリアとする経営コンサルタントです。
小規模事業者や中小企業を対象として、経営戦略立案とその後の実行支援、商品開発、販路拡大、マーケティング、ブランド構築等に係る総合的なコンサルティング活動を展開しています。実際にはWEBマーケティングやIT系のご依頼が多いです。
民民での直接契約を中心としていますが、商工三団体などの支援機関が主催するセミナー講師を年間数十回担当したり、支援機関の専門家派遣中小企業基盤整備機構の経営窓口相談に対応したりもしています。
保有資格:中小企業診断士、情報処理技術者
 
会社概要およびプロフィールは株式会社ドモドモコーポレーションの会社案内にて紹介していますので興味ある方はご覧ください。
なお、お問い合わせは電話ではなくお問い合わせフォームからメールにておねがいします。新規の電話番号からの電話は受信しないことにしていますのでご了承ください。

この記事のURL「https://www.dm2.co.jp/2021/12/phishing.html」をQRコードで表示
この記事のURL「https://www.dm2.co.jp/2021/12/phishing.html」をQRコードで表示「https://www.dm2.co.jp/2021/12/phishing.html」
パソコンで表示されたページをスマホでも見たい場合は、このQRコードをスマホのカメラ(QRコードが読めるリーダー)で読むとページが表示されます。

 

遠田幹雄のLINE@アカウントを友だち追加
このエントリーをはてなブックマークに追加

サイト内検索

(グーグルカスタム検索)

 

レンタルサーバーはどこがいいか

手軽にワードプレスでサイト構築ができるロリポップ
ロリポップ

レンタルサーバーシェアNO1のエックスサーバー
エックスサーバー

当社も利用しているさくらインターネット
さくらインターネット

この3つのレンタルサーバが日本では人気ベスト3のようです。