このページは、改ざん被害にあったサイトを有するサーバー内に複数のサイトが存在する場合の注意事項と復旧方法についての説明です。長い文書ですが、複数サイトを管理するお客様には、ご依頼の前にご理解いただきたい情報ですので、既にご存知の内容については読み飛ばしながらご確認ください。
インターネットで公開するWordPressサイトのデータは、大きく分けると、サイトを構成するファイル群と、投稿記事のデータ等を蓄積するデータベースに分かれています。
ひとつのWordPressのサイトは「サイトを構成するファイル群」と「データベース」に分かれて、サーバー内に保存されています。前者はWEBサーバーにあり、後者はデータベースサーバーにあります。
サイトを管理する為のレンタルサーバーのサービスやクラウドサービスには、これらを扱う領域があります。WEBサーバーの中には、サイトを公開する公開領域があり、そこに、サイト公開に必要なファイルが整理された状態で保管されています。
この公開領域には、WordPressサイトだけでなく、HTMLだけで作成したサイトデータやWordPress以外のCMS、WEB上で動作できるその他の仕組みを格納することができます。
複数のドメインをひとつのレンタルサーバーで管理している場合は、ドメインごとに別の公開領域を持っていることもあります。
当サービスで「サーバー内に複数のサイトがある」というのは、ひとつのレンタルサーバーアカウントで複数ドメインのサイト管理している場合・複数の公開領域を持っていて、そこにLPやWordPress以外のサービスやWEBアプリ等を運用している場合のことを指します。
複数のサイトの中には、被害にあったサイトを制作していた時に使っていた開発環境(ステージング環境)や、もう最近は更新していない古いサイトなども含まれていることが多いです。長く使っているサーバー内には、誰も見ていないページや、インデックスしていないから検索ページにも表示されないサイトがあり、お客様自身もその存在を知らない・忘れている場合もあります。
ひとたびサイトの改ざんに遭うと、その被害は必ずと言って良いほど、WEBサーバー内で横に広がります。それはなぜでしょうか?
攻撃者は、サイトに攻撃をしかけ不正なアクセスに成功すると、攻撃のベース基地となるファイル(バックドア)を設置します。
バックドアを使うことで、攻撃者はレンタルサーバー内のファイルコンロトール機能のようなものを手に入れ、攻撃したサイトが保管されているサーバー内のファイル構成を全てを確認し、さらにはファイルの追加・変更・削除ができるようになるのです。
そして、攻撃者はなるべくサイト所有者に気付かれないように、様々な攻撃ファイルを分散して格納します。また、多くのサイトで攻撃の効果を得られるよう、複数サイトを管理するサーバー内では最初に攻撃したサイト以外のサイトにも攻撃を始めます。
このような行為は、1日で行う場合もありますし、何日か時間をかけてサイトに様々な仕掛けを設置する場合もあります。バックドアを複数設置する場合もありますし、全てのディレクトリ(フォルダ)に一気に何百ものファイルを生成することもあります。
最初に不正侵入して攻撃を開始したサイト以外の場所で目に見える被害が発生し、お客様から問い合わせをいただくことも少なくありません。
まず、最も大事なこととして、被害にあったサイトが存在するサーバーのWEB公開領域全てをクリーンにしない限り、そのサイトは安全な状態にならない、ということがあります。
攻撃者はサーバー内で自由に操作できるので、ひとつのサイトだけクリーンしても、既に他の場所にバックドアを置いてあれば、そのサイトに再攻撃をすることができます。納品時にセキュリティ強化の設定をしたとしても、攻撃者の侵入経路を完全に断ち切っていない場合は再被害のリスクは高いままです。
のみならず、攻撃のきっかけとなる脆弱性が他の領域にあった場合は、クリーン済のサイトが必ずしも安全であるとは言えません。
攻撃者は1人とは限らず、時間をおいて複数の攻撃者がサイトやサーバー内を攻撃してくることがあります。残念ながら、こういった攻撃は相手を選ばず無差別的に、ゲームの様に行われているのが現状です。攻撃者同士の情報交換サイトでは、攻撃者のランキングがあったり、攻撃済のサイトのURLを発表していることもあります。最初の攻撃者が提示した情報を元に、他の攻撃者が狙ってくることもあるのです。
また、攻撃者はサイトに脆弱性があるかどうかを発見できるツールを使っていることもあり、サーバー内の一部分だけを復旧したとしても、他に脆弱性のあるデータが残っている場合は、再度被害にあうリスクが非常に高くなります。
レンタルサーバーによっては、同じアカウントのサーバー内で被害が進むと、サーバー全体の動作を強制的に止める場合もあります。
これが最も基本的な方法です。他のドメインや、LP、開発環境も含めて復旧します。
サイトの数が多数の場合費用がかかりますが、全ての公開領域が改ざん前の状態に戻りますので、最もお勧めの方法です。
比較的低価格で実現できる方法です。既に他に安全なサーバー環境をお持ちであれば、そちらへ移転が可能です。クリーンデータ移行を同時にご依頼いただければ、別のサーバーへデータを納品します。
ただし当サービスでは、移転前のサーバーのPHPバージョンが古く新サーバーで同じ動作が実現できない場合は、別途追加料金がかかることがあります。
また、新しくサーバーを借りる準備とその経費は、お客様側にてお願いします。
いらないデータを、クリーンする前にディレクトリごと削除します。
WEBサーバー内の他のディレクトリは、基本的に汚染されていると考えてください。
ですので、被害にあってからバックアップをとってたとしも、そのバックアップデータも汚染されています。これをクリーンなサーバー上で展開すると再被害が発生する可能性が非常に高いです。
諦めて全てを削除することです。
削除をご希望の場合は、発注時にご依頼いただければ、弊社にて削除いたします。
ひとつのレンタルサーバーアカウント内で、多くのサイトを運用しているけれど、一気にクリーンする予算がない場合は、以下のような対応が可能です。このようなケースは、制作会社、ブロガーやアフィリエイターの方に多く見られます。
まず、上記のBの対応をします。取り急ぎ、目に見える被害の出ているサイトのみをクリーンし、別のサーバー環境に移します。
その後、様子を見ながらその他のサイトを段階的に復旧し、クリーンデータの入っているサーバーへ移していきます。
こうすることで、一度に多くのサイト復旧にかかる予算を分散することができます。
この時、被害にあったサーバー内のサイトを運用し続けることで起こり得るリスクとして、
といったことが挙げられます。
このような理由から、この方法については、セキュリティ専門業者としては積極的にはお勧めができないものですが、予算に限りがある場合は、こういった対応も可能です。
ただし、同じサーバー内に、ECサイトや会員制のサイト等、ユーザーの個人情報を取り扱うサイトやデータがある場合は、現状で目に見える被害がない場合でも、直ちに汚染されたサーバーからデータ退避・サイト復旧をしてください。個人情報を取り扱うサイトの場合は、第三者がその情報にアクセス可能な状態になる、つまり情報漏洩のリスクがあります。
この方法をとる場合は、被害にあっているサーバー内のサイトは、可能であれば一旦公開を停止することをお勧めします。また、そのサーバー内に不要なデータがあれば、早急に削除することをお勧めします。
被害を確認している状態でバックアップを作ることは、不正ファイルを含んだバックアップファイルを作ることになります。これをサーバー内で再度展開すると、再被害が起こる可能性があります。攻撃のファイルの中には、ユーザーの何気ない操作で大量のファイルがサーバー内各所に自動生成されるもの等がありますので、クリーンなサーバーに汚染ファイルを展開することは禁物です。