会社のホームページの保守管理やリニューアルを行わずに、サーバーのセキュリティ設定が甘かったり、古いバージョンのCMSを使い続けていると、ウェブサイトがマルウェアに感染してしまったり、攻撃を受けてCMSを改ざんれてしまうこともあります。
マルウェアに感染するとGoogle検索から除外されたり、リスティング広告を利用しているとマルウェアの感染が原因となって出稿停止になることもあります。
そうした時に感染したマルウェアを調査し、復旧するための手順を解説いたします。
マルウェアの種類
ある日突然マルウェアに感染したと言われても、見えない敵と戦ってる感が否めません。「マルウェア?ウイルス?なにそれ?」と思うかもしれませんが、どのような種類にしろプログラムなのでファイルや文字列として形に残っているはずです。
Webサイトに関わるマルウェアの多くは「サイトを改ざんするもの」に当たり、改竄された結果、Webサイトを開くと勝手にポップアップが開くようになったり、見ているユーザーの端末やブラウザの情報を書き換えて他のサイトに転送する「リダイレクトウイルス」などがあります。
マルウェア感染のチェック方法
Google広告やFacebook広告を出稿していれば、入稿のタイミングなどで審査が行われ、マルウェアが検出されると不承認となり広告掲載ができないので、マルウェアの感染に気がつくことができます。
セーフブラウジング
Googleのサーチコンソールに登録していれば、マルウェアの感染が発覚した時点でメールの通知がくるはずなので、すぐに気がつくかと思いますが、メールを見落としてしまった場合は、下記のツールにURLを入力すれば一発で調べることができます。
VirusTotal
Web上で使えるツールで、ローカルファイルをアップロードするか、URLを入力するだけで簡単にマルウェアをスキャンすることができます。
WordPressのプラグインで調べる
WordPressであれば「Theme Authenticity Checker (TAC)」「Exploit Scanner」「Anti-Malware」などのプラグインで不正なコードを検出することができます。
下記のブログ記事がわかりやすいので参照してみてください。
ツールで検出されないマルウェア
上記のようなツールで調べても何も検出されない場合は、悪質なマルウェアに感染しているわけではないかと思いますが、そのような場合は調査が難航する可能性が高いので、根気強く向き合う必要があります。
ツールでの検出を逃れる悪質なマルウェアである可能性もありますし、特定のブラウザであったり、Google検索からサイトに入った時など、限定した環境化で発動するような場合もあります。
また、実際には悪質なマルウェアでなくても、広告の審査を阻害するような挙動をするJavaScriptが原因になって、広告が不承認になるケースもあります。
マルウェア調査の勘所
ツールやプラグインで特定することができればすぐに解決できますが、それでも原因が掴めない場合はひとつひとつ原因を調査しなければなりません。
フロントエンド
実際にサイトを表示して表から見えるところは下記のような部分となります。ブラウザのデベロッパーツールで読み込まれているリソースを全て確認するような流れが必要です。
- JavaScript
- CSS
- iframe
- 画像
- Cookie
意図していないファイルを読み込んでいたり、難読化されているコードであれば、ぱっと見で怪しいと感じるので分かり易ですが、1行のコードだったり画像に偽装したプログラムの場合は気がつきにくい場合があります。
サーバーサイド
フロントエンドに問題がなさそうであれば、サーバー側にマルウェアの感染が及んでいる可能性が考えられます。主にリダイレクト(転送設定)に関わる部分を調べるのが早いですが、データベースに及んでいる場合は、調査が難航する場合があります。
- htaccess
- hosts
- TXTレコード
- Cronジョブ
- SQLデータベース
- SSL証明書
また、サーバーログを確認できる状況であれば、不正なリダイレクトやファイル読み込みを確認することができる事もあります。
マルウェア駆除する方法
マルウェアを駆除するには、改竄された箇所を削除して再び感染しないように入り口を塞ぐ必要があります。共有サーバーを利用していて、感染がサーバーサイドまで及んでいる可能性があれば、サーバーの移転を検討した方が良い場合もあります。
もし、マルウェアを特定して駆除することができたなら、パスワードの変更やパーミッションの確認を行い、WAF設定やFTPアクセスのIPアドレス制限など、セキュリティ対策を頑強なものにしておくと安心です。
「常に最新バージョンのCMSを利用しているから安全」「専用サーバーだから安全」という訳でもなく、プログラムには脆弱性が必ずあるので、何かしら感染する可能性はゼロにはなりません。
マルウェア調査の依頼
様々なサイトを見て困り果ててここまで辿りついたかもしれませんが、もし解決できずにお困りでしたらお気軽にご相談ください。
Google広告がマルウェアの感染が原因で不承認になり、すでにサイト側の対処が済んでいる場合は、解決方法をアドバイスすることはできます。
しかし、不承認を解消できたとしても、審査プロセスの都合で、その後にサイトリンクが不承認のままになるなど、広告の掲載を続けるには不都合が生じるケースもあるため、単発のご依頼でのサポートは行っておりません。
Googleへの異議申し立て、交渉の代行をご希望の場合は、継続的にお取引いただける場合のみ承っております。
すべてのマルウェア対策に万能というわけでもないのでご希望に添えない場合もあることを予めご了承ください。
