セキュリティ対策

【エックスサーバー】■重要■お客様のサーバーアカウントにおける不正なアクセスの検知および制限の実施について の対応方法

津久井 隆行
【エックスサーバー】■重要■お客様のサーバーアカウントにおける不正なアクセスの検知および制限の実施について の対応方法

エックスサーバーからの不正アクセス通知

高速で安定したサーバーをリーズナブルな価格で提供している「エックスサーバー」。
業界でも評判がよく、弊社でも多くのお客様にご利用いただいております。

多様な機能に加え、サポートが充実していることも特徴の一つです。

たとえば、サイトがマルウェアに感染してしまったときには、「今、あなたのサイトで何が起こっているのか」、「どのような対応が必要か」を一つひとつ丁寧にメールで案内してくれます。

今回は、エックスサーバーのビジネスパートナーとしても活動する弊社が、XServer上のサイトが不正なアクセスを受けた際に届く通知メールの内容と、その対処方法について解説します。

通知メールの件名

不正アクセスと疑わしい事象を検知すると、サーバーの管理者に対して、次のような件名のメールが送られてきます。

【エックスサーバー】■重要■お客様のサーバーアカウントにおける不正なアクセスの検知および制限の実施について

エックスサーバーから届くメールには複数の依頼事項が記載されておりますので、内容を確認の上対処していきましょう。
以下順に対応すべき内容についてご説明いたします。

[1] ご利用のPCにてセキュリティチェックを行ってください

WordPressサイトへの攻撃は、サーバーへの直接的な攻撃がほとんどです。
パソコンのセキュリティチェックは、必ずしもウェブサイトの安全を直接守るものではありませんが、念のため行っておくことをおすすめします。

なぜなら、お客様から『サイトがウイルスに感染した』というご相談を受ける中で、実はパソコン自体もウイルスに感染していたケースが少なくないからです。
発生している問題を切り分け、適切な対処を行うためにも、パソコンのウイルスチェックも合わせて行うようにしましょう。

[2] 検出されているすべてのファイルの完全削除 または、該当ドメイン名を「初期化」してください。

サーバーからマルウェアを除去する作業に対しての説明です。
エックスサーバーからは、「ケース1」、「ケース2」の2つ案が提示されていますので、順番に見ていきましょう。

ケース1■検出されているすべてのファイルの完全削除する場合 (※推奨)

エックスサーバーから提供された「不正プログラムと思われるファイル一覧」に載っているファイルを、一つずつ順番に削除する方法です。感染の程度によっては、削除するファイルが多くなることもありますが、落ち着いて一つずつ削除していきましょう。

ケース2■該当ドメイン名を「初期化」する場合 ※該当ドメイン名のウェブ領域に設置されたすべてのファイルが削除されます

エックスサーバーの初期化機能を使って、該当ドメイン名のウェブ領域にあるすべてのファイルを削除する作業です。
「ケース1」のように一つずつ削除する必要がないため、それ程手間はかかりません

初期化の方法

1.「ドメイン設定」―「ドメイン設定一覧」に表示される対象ドメインの「初期化」ボタンを選択。

2. 「ウェブ領域・設定の初期化」にチェックを入れ「確認画面へ進む」選択。

3.「実行する」を選択。

「ケース1」もしくは「ケース2」どちらを選択するにしても、いくつか注意すべき点があります。

注意事項1

どちらのケースでも、サーバー上のファイルを削除するため、まず大前提として、マルウェアに感染していないクリーンなバックアップデータが必要となります。

ケース1の場合でも、既存のファイルが改ざんされていた場合、一度そのファイルを削除する必要があるため、バックアップデータは必須となります。
バックアップがない状態でファイルを削除したり初期化したりすると、元に戻せなくなりますのでご注意ください。

注意事項2

ケース2の初期化により削除されるのはWebサイトのデータが入った領域のみであり、メールのデータ等が保存された他のフォルダは初期化の対象外となります。
一部のマルウェアはメール用のフォルダなど、WordPressとは無関係のフォルダにも設置されることから、他のフォルダにマルウェアが存在しないことも必ず確認してください。

[3] FTPソフトによるデータアップロードなど、ホームページ再開のための作業を行ってください

取得しておいたバックアップファイルを、FTPソフトを使ってサーバーにアップロードします。
この際、アップロードするバックアップファイルにマルウェアが混入していないことを必ず確認してください。

例えば、今日サイトがおかしくなったからといって、慌てて昨日のバックアップデータを使用してサイトを復旧することは非常に危険です。サーバーのログを確認すると、不具合が顕在化する数日前から不正侵入を許しているケースも多々存在するからです。

可能であれば、数週間前のバックアップデータを用意し、マルウェア感染の有無を確認した上で、データをアップロードすることをおすすめいたします。

マルウェア検知ツール(プラグイン等)を使った調査について

WordPressには多くのマルウェア検知・除去用のツール(プラグイン等)があります。これらのツールは手軽にマルウェアを取り除け便利ではありますが、使用する際には注意が必要です。

実際、弊社に問い合わせてくるお客様の中には、「ツールを使ってマルウェアを調べたが、何も見つからなかった」とおっしゃる方が多数いらっしゃいます。

これは、日々新たなマルウェアが発生しており、すべてをツールで検出できるわけではないからです。

最近特に増えているのが、正規のプラグイン名を真似たマルウェアです。実際に存在するプラグイン名を使っているため、検索しても見逃されることがあります。

そのため、マルウェア検知ツールを使っただけで安心せず、自分自身でもしっかりとマルウェアの有無を確認することが大切です。

[4] 該当ドメインにて設置されていたプログラムにおいて、脆弱性の調査を必ず行ってください。

バックアップデータを使ってサイトを復元することで、マルウェアの被害は一時的に解消されます。
しかし、ウェブサイトに侵入を許す原因となったWebサイトの脆弱性(セキュリティホール)は残ったままであることから、対策をせずに放置すると、再度攻撃を受けるリスクが高まります。

過去の事例では、対策をしないまま放置されたウェブサイトが、わずか1日で再びマルウェアに感染することも多々ございました。

そのため、マルウェアの除去作業が終わったからといって安心せず、必ずウェブサイトの脆弱性を特定し、しっかりと対策を行うことが非常に重要です。

ただし、脆弱性の特定には専門的な知識が必要となるため、ご自身で調べるのは難しいかもしれません。
再発による実害及び企業イメージの低下を防ぐためにも、専門家に相談することをおすすめいたします。

[5] 設置されているWordPress等の設置プログラムについて管理パスワードを変更してください。

パスワードの漏洩により攻撃を許してしまったケースも頻繁に見受けられることから、各種パスワードの変更は必ず実施してください。

具体的には、以下全てのパスワードを変更することをおすすめいたします。

・WordPressユーザーのパスワード
 ※ すべてのユーザーのパスワード変更を推奨。
   難しい場合は、最低限管理者権限を持つユーザーのパスワードを変更する。
・FTPアカウントのパスワード
・XServerアカウントのパスワード

困った場合は、無理せず専門家に相談を

いかがでしたでしょうか。一度マルウェアに感染してしまうと、復旧までに多くの作業を必要となることに驚いた方も多いかと思います。

復旧作業の中には、「脆弱性の特定や対処」など、専門的な知識を要する作業も多々存在します。
また、作業中に想定外のエラーが発生することもあり、一般の方が対応するのは大変です。

復旧に時間を要することによる、サービスの停止や企業イメージへの影響等も考慮すると、専門業者への依頼も検討いただくとよいかと思います。

弊社の「WordPress復旧サービス」では、マルウェアの除去からサイトの復旧、脆弱性の対策まで一気通貫で対応しております。被害の規模にもよりますが、復旧まで数時間といった事例も多数ございます。

もし、自社では復旧対応が難しいと感じたお客様は、ぜひ弊社にご相談ください。

また、マルウェアは時間とともに感染範囲を広げてまいりますので、気づいたら早めの相談をおすすめいたします。

この記事を書いた人

津久井 隆行
株式会社ツクイ・インターナショナル 代表取締役
WordPress開発、運用、マルウェア除去、脆弱性診断等のサービスを提供するWPPLUS(https://wpplus.jp)を運営。

お問い合わせ

WPPLUSセキュリティサービスへのお問い合わせは以下よりお願いいたします

WEBからのお問い合わせ
お電話でのお問い合わせ 047-701-5206 【受付時間】 9:00 〜 20:00
(土日祝も受け付けております)
ページ先頭へ