サイト攻撃手法

WordPress不正ユーザーの見分け方

津久井 隆行
津久井 隆行
Wordpress不正ユーザーの見分け方

弊社では、日々「サイトの乗っ取り」や「マルウェア感染」に関するお問い合わせを多数いただいております。そうしたサイトを調査していると、発生している問題は異なっていても、攻撃手法には共通点があることがわかります。

今回はその一つである、「知らぬ間に不正なWordPressユーザーが登録される」ケースについてご説明いたします。

攻撃者はなぜWordPressユーザーを登録するのか?

外部からの攻撃者は、サイトを乗っ取ったり改ざんしたりするためにいくつかの手順を踏みますが、その一つに「WordPressユーザーの追加」があります。

では、なぜ攻撃者はわざわざ新しいユーザーを追加するのでしょうか?

新しいユーザーアカウントを作成することで、そのアカウントを使ってバックドア(サイトに侵入するための裏口)機能を持つプラグインをインストールしたり、サイトを自由に操作したりできるようになります。
これにより、ユーザーアカウントがない状態で攻撃を行うよりも、より簡単にサイトを乗っ取ることができるようになるのです。

不正ユーザーの見分け方

ウェブサイトが不正アクセスを受けた疑いがある場合、不正に登録されたWordPressユーザーが存在しないか確認することが重要です。
しかし、長期間運用されているウェブサイトでは、誰が登録したのか不明なアカウントが存在する場合もあるかと思います。このような状況において、不正なユーザーアカウントを特定するための具体的な方法についてご説明いたします。

①見覚えのないユーザー名

見覚えのないユーザー名が登録されている場合、それは不正に登録されたユーザーの可能性があります。
実際に弊社が復旧作業を行った際には、以下のようなユーザー名が確認されました。

★不正なユーザー名の例

wpupdate-xxxxx
wpcron-xxxxx
admin-xxxxx
※「xxxxx」の部分はランダムな文字列です。

また、上記のようなユーザー名以外にも、単純な文字列の羅列のユーザー名も多数見つかっています。

②名前、メールアドレスが空欄

WordPressのユーザー一覧で「名前」や「メールアドレス」が空欄になっている場合、これも不正登録の疑いがあります。
特にメールアドレスは必須項目であるため、通常の登録方法では空欄になることはありません。
そのため、メールアドレスが空欄のユーザーは、データベースに直接登録された可能性が高く、不正に登録されたユーザーである可能性も高いと言えます。

③見覚えのないメールアドレス

見覚えのないメールアドレス、特に不自然なドメインのメールアドレスが登録されている場合は、不正ユーザーである可能性が高いと考えてください。

★不正なメールアドレスの例 ドメインが不自然!!

wordpUser1@org.com
123@abc.com

④権限が「管理者」

プラグインのインストールには管理者権限が必要なため、不正ユーザーには一般的に管理者権限が付与されています。

ただし、正当な理由で登録された管理者権限を持つユーザーも存在するため、管理者権限の有無だけでは不正ユーザーだと決めつけることはできません。前述の①~③のようなケースに該当するユーザーが管理者権限を持っている場合、そのユーザーは不正に登録された可能性が高いと考えてください。

■不正ユーザーの例

⑤不自然なユーザー登録日時

WordPressの管理画面(ダッシュボード)上では確認できませんが、データベースにはユーザーが登録された日時も保存されています。
この登録日時が明らかに不自然な場合、不正ユーザーである可能性が疑われます。

例:”1979-01-01 00:00:00″

※ DBベースの中身を確認するには、phpmyadmin等のツールを利用する必要があります。

不正なユーザーを見つけた際の対処方法

不正なユーザーを見つけた場合の対象方法についてですが、上記に該当する明らかに見覚えのないユーザーであれば、削除していただいても問題ありません。ただし、他の方が登録した可能性も考慮し、慎重に判断してください。

また、ユーザーを除する際は、必ずWordPressの管理画面(ダッシュボード)から操作を行うようにしましょう。データベースにログインしてユーザーを直接削除することも可能ではありますが、ユーザーのデータはデータベース内の複数の場所に分散して保存されているため、誤って削除してしまうと、復元が非常に困難となります。

★会員サイトを運用している場合★

WordPressのプラグイン使って会員サイトを運用している場合、会員のデータがWordPressのユーザーとして登録される場合があります。

こうしたケースでは「見知らぬ名前」や「見知らぬメールアドレス」がWordPressユーザーとして登録されていることから、特に注意が必要です。

誤って会員の情報を削除することがないよう、細心の注意を払って作業を行ってください。

不正ユーザーを削除するだけでは不十分

いかがでしたでしょうか。

不正なユーザーがサイトに登録されていた場合、サイトがマルウェアに感染している可能性が非常に高いとお考え下さい。このまま放置すると、サイトに深刻な被害をもたらす恐れがあるため、早急に対処することが重要です。

ここで注意していただきたいのは、不正なユーザーを削除するだけではサイトの感染は解消されないということです。不正なユーザーは、マルウェアを拡散するための手段として利用されているだけであり、実際のマルウェアは、サーバー内にファイルとして設置されていることが一般的です。

そのため、不正なユーザーの削除に加えて、サーバー上に潜むマルウェアを見つけて、完全に除去する作業も必ず行う必要があります。

「マルウェアの除去までは難しい」といったお客様に関しましては、ぜひ弊社の「WordPressサイト復旧サービス」までお問い合わせください。

不正ユーザーの削除も含め、迅速にサイトを復旧いたします。

この記事を書いた人

津久井 隆行
津久井 隆行
金融、通信業界等の大規模システムの開発、マネージメントに従事。
WordPressサイト制作サービス「WPPLUS」を展開。
AI、DeepLearningについての知見も。
JDLA Deep Learning for Engineer
JDLA Deep Learning for General

お問い合わせ

WPPLUSセキュリティサービスへのお問い合わせは以下よりお願いいたします

WEBからのお問い合わせ
お電話でのお問い合わせ 047-701-5206 【受付時間】 9:00 〜 20:00
(土日祝も受け付けております)
ページ先頭へ