最近 サイトにGoogle経由でアクセスした時のみに偽のWindowsのウィルス駆除ページやPC修理ページにリダイレクトされてしまう改ざんを受ける事例が増えています。
今回はこの事例の解説と対策について配信いたします。
ワードプレスサイトのリダイレクトハック改ざん事例
下記のような症状がサイトに現れます。
●検索結果からサイトにジャンプしてきた場合にのみ意図したページと違うサイトに強制的に飛ばされる
●上記はWindowsのウィルス駆除や、PCの復旧などをユーザーに促すサイトで音声が強制的流れる場合もある
●必ず出るわけではなく、最初の1回だけ症状が出たり、ランダムな確率で症状が発現したりする
どのようなコードがサイトに埋め込まれている?
最近のリダイレクトハックのトレンドは、不正なJSファイルをサイトに読み込ませることです。このJSファイルがページが読み込まれたときに実行され、ランダムな確率でユーザーを別のサイトにリダイレクトするコードが実行されます。
例として、下記のようなコードが投稿のリンクの後に挿入されます。(ハッカーは投稿のリンク文字列を検索してその後に機械的に不正なコードを忍ばせています。)
<script src="https://XXXX/jquery.js"></script>
もしサイトが検索結果からの訪問でリダイレクトされてしまう場合はその投稿の中に不正なスクリプトが埋め込まれていないかをご確認ください。
また、サイトのテーマファイルのheader.phpやfooter.phpが改ざんされ、不正なJSがすべてのページで読み込まれるようになっている場合もあります。
ヘッダーファイルの改ざん例
上記は難読化(人には読みにくくされた)された不正なコードがすべてのページで読み込まれるテーマのheader.phpに書き込まれている事例です。
どうやってハッカーはサイトを改ざんしているのか?
ハッカーはどのようにしてこのような改ざんを行うのでしょうか?最も多いのが、管理者権限の奪取による管理画面からのファイルの改ざんです。一度管理者権限を奪取すると管理画面からファイルを改ざんしてバックドアと呼ばれる以後簡単にサイトを改ざんできるような不正なコードを埋め込んできます。
バックドアのコードの例
上記コードは難読化されたPOSTやGETというブラウザ経由で情報を受信するコードとその受信した情報を実行可能なプログラムに変換するEvelという処理が書き込まれています。
管理者権限の奪取は主に2つの方法がとられることが多いです。
①ワードプレス本体やプラグインの脆弱性を突いて管理者権限を奪取
②ログイン画面から、何万回もソフトウェアによってログイン施行を行いパスワードを引き当てて管理権限を奪取
①の場合、ワードプレスやプラグインを最新のバージョンに保つことでセキュリティーが向上します。②の場合はある程度ログインを施行して失敗した場合に数分間ログインを禁止するログインロックダウンと呼ばれる機能や、ログインページのURLの変更、パスワードを12文字以上の半角英数、記号を含むものに変更することによって防ぐことができるようになります。
リダイレクトハックの特殊事例
ワードプレスや、プラグインも公式のものを利用していて改ざんされていないのにリダイレクトハックにサイトが侵されている事例もございます。実際にあった事例です。
●公式サイトで配布されているプラグインに改ざんコードが含まれている
参考記事 マルウェア入りのプラグインDisplay Widgetsの公開停止事件と対処方法について
●外部の広告配信Javascriptコードにリダイレクトハックが仕込まれている (会社名は伏せますが同社に問い合わせ後同様の事例が多発しているため広告の見直しを行っているとの回答をいただきました。)
●サイトを見ているコンピュターやスマホがウィルスに感染している
参考記事 Norton:ブラウザハイジャッカーマルウェアを排除する方法
すでにハッキングされてしまった時の対処方法
すでにサイトが改ざん被害を受けてしまっている状態から、ワードプレス本体やプラグインのアップデートを行ってもバックドアやそのほかの改ざんファイル、投稿への改ざん埋め込みが消えるわけではない可能性があることにご注意ください。
また、一度管理者権限が奪取されていると、再度そのバックドアからハッカーは侵入してきます。
ワードプレスドクターでは数百件の改ざん被害の復旧経験があり、以後再度改ざん被害を受けないためのセキュリティー対策に関するノウハウがございます。
弊社が構築した改ざんファイルデータベースから徹底的に改ざんファイルやバックドアを排除し、今後ハッカーがサイトをハッキングしにくくするようにするセキュリティー対策を御社サイトに導入させていただきます。
