はじめに
目的
この章では、本記事の目的と読み方をわかりやすく説明します。ホームページが第三者に乗っ取られたと感じたとき、慌てずに適切な対応が取れるように設計しています。具体的な対処手順、復旧方法、再発防止策までを順を追って解説します。
対象読者
中小企業の担当者や個人事業主、趣味でサイトを運営する方など、専門知識がそれほど深くない方を想定しています。WordPressなどのCMSを使っている場合の注意点も含めます。
本記事で学べること
- 乗っ取りの兆候の見分け方(例:見慣れないページ、広告の大量表示、管理画面に入れない)
- 初期対応の優先順位(まず情報の保存、次にアクセス制限)
- 不正ファイルの見つけ方と削除の基本
- アカウント・パスワードの強化方法
- 検索エンジンや警察への相談窓口の考え方
読み方の目安
初めての方は章順に読むことをおすすめします。急ぎのときは第2章(初期対応)と第3章(原因調査)を先に確認してください。落ち着いて一つずつ対応すれば復旧は可能です。
ホームページ乗っ取りの初期対応
1. まずは落ち着く
パニックになると誤った操作で被害を広げます。まず深呼吸して、現在の状況を冷静に確認します。表示されている改ざん内容、エラーメッセージ、訪問者からの報告を整理します。
2. サイトを一時的に公開停止する
訪問者や検索エンジンへの影響を防ぐため、速やかに公開を停止します。方法は次の通りです。
– 管理画面からメンテナンスモードへ切替える
– ホスティングのコントロールパネルでサイトをオフにする
– サーバー上で一時的にWebサーバーを停止する(例: systemctl stop apache2)
直接ファイルを削除しないでください。後の調査で証拠が必要になります。
3. 現状のデータをバックアップして証拠保全
改ざんされたファイル、データベース、アクセスログ、エラーログ、スクリーンショットをそのまま保存します。タイムスタンプを保つためにそのままコピーを作るか、読み取り専用で保存してください。
4. サーバーを隔離して外部アクセスを遮断
ファイアウォールで外部からのアクセスをブロックするか、ネットワークを切り離します。FTPやSSHの外部接続を一時的に無効にし、不要なサービスは停止します。
5. 記録と通報
対応した作業を時系列で記録します(誰がいつ何をしたか)。ホスティング会社や社内の担当者に速やかに連絡し、必要に応じて外部の専門家や警察への相談を検討します。
6. 次のステップ準備
復旧・調査に必要なアカウント情報や管理者連絡先を整理し、次の章(原因調査・除去)に備えます。
原因調査と不正ファイルの除去
はじめに
まず落ち着いて作業用の環境を整えます。可能なら最新のバックアップを別の安全な場所に保存し、作業中は公開サイトを一時的にメンテナンス表示にします。
マルウェアスキャンの実行
セキュリティプラグインやウイルス対策ソフトで全ファイルをスキャンします。例:WordPressならWordfenceやMalCare、一般サーバーならClamAVなどを使います。検出結果は必ず記録してください。
不正ファイルの特定と対応
検出したファイルは日時やオーナー情報を確認します。改ざんされたテンプレートや未知のPHPファイルはまず隔離し、元ファイルがある場合は正しいバージョンに戻します。元がない場合は新しく作り直すか公式配布物で差し替えます。
プラグイン・不審データの削除
不要なプラグインや更新が止まっているもの、不審な管理者ユーザーは削除または無効化します。データベース内に怪しいテーブルや不明なスクリプトがないかも確認し、見つかればバックアップを取ってから削除します。
アクセスログで原因を探る
サーバーのアクセスログやCMSのログを確認して侵入経路を探します。例:特定IPからの大量アクセス、管理画面への不正なPOST、認証エラーの増加などが手がかりです。ログは日時順に保存し、必要なら専門家や警察に提示できるようにします。
注意点
- 直接ファイルを削除する前に必ずバックアップを取る。
- 自力で対応が難しい場合は専門業者に相談する。
- 証拠保全のため、改ざんされたファイルやログは上書きしないで保管してください。
アカウント・パスワードのセキュリティ強化
概要
管理者IDやパスワードは被害を受けやすい入口です。乗っ取りを受けたら速やかに変更し、推測されにくい強力なものにします。必要なら二段階認証を導入し、不正に追加されたアカウントがないか確認します。
すぐに行う初動(優先度高)
- 管理者(admin)やFTP、ホスティング、データベースのパスワードを直ちに変更します。
- すべての管理者アカウントで強制パスワードリセットを実施します。
- 一時的に不要なアカウントは無効化または削除します。
強力なパスワードの作り方(実例付き)
- 長さは12文字以上を目安にします。短い単語をつなげたフレーズ(例:Sakura!2023Tree)も有効です。
- 英大文字・小文字・数字・記号を混ぜますが、覚えやすい語句を基にする方が運用しやすいです。
- 同じパスワードを複数のサービスで使い回さないでください。
- パスワード管理ツール(例:パスワードマネージャ)を使うと安全に管理できます。
二段階認証(2FA)の導入
- 可能な箇所すべてに二段階認証を有効にします。
- 認証アプリ(Google Authenticator、Authyなど)やハードウェアキー(YubiKey)が推奨です。SMSは利便性は高いですが、完全な安全策ではありません。
アカウントの確認と整理
- 管理画面、FTP、ホスティング、メール、CMSのユーザー一覧を確認し、見覚えのないアカウントを削除または無効化します。
- 各アカウントに最小限の権限を割り当てます(管理者は本当に必要な人だけ)。
- サービスアカウント(自動処理用)のパスワードも定期的に見直します。
運用ルールと記録
- パスワード変更のスケジュールを作り、記録を残します。
- 重要な変更はログとして保存し、誰がいつ行ったか分かるようにします。
- 緊急用のリカバリアカウントを1つだけ用意し、別の安全な場所で管理します。
以上を実施することで、不正アクセスのリスクを大きく下げられます。問題発見時は速やかに対応してください。
専門機関・警察への相談
いつ相談すべきか
被害が広範囲に及ぶ、個人情報が流出した、改ざんが繰り返される、金銭被害が発生した場合は早めに相談してください。自力での復旧が難しいと感じたときも相談の対象です。
持参・準備する証拠
サーバーやアクセスのログ、ホームページの変更履歴、改ざんされたファイルのスクリーンショット、バックアップファイル、侵入の痕跡となるメールや通知文、発生日時を記したメモなどを用意してください。ログは元の状態を保つために複製して保管します。
相談先の種類
- 警察(サイバー犯罪窓口や最寄りの警察署)
- インターネット相談窓口や自治体の支援窓口
- 公式のセキュリティ専門業者(調査・復旧を依頼)
- ホスティング事業者やドメイン管理事業者
相談時のポイント
相談時は発生日時、影響の範囲、残っている証拠を簡潔に伝えてください。業者に依頼する場合は見積もりや対応範囲、報告書の有無を確認します。ログや証拠は改変しないように注意してください。
相談後の対応
警察や専門業者の指示に従い、証拠保全や追加調査を進めます。業者から復旧作業や報告書を受け取り、必要なら利用者や取引先への通知を検討します。早めの連携が被害拡大を防ぎます。
Google・検索エンジン対応
概要
乗っ取りや改ざんで検索結果に警告(「このサイトは安全ではありません」など)が出た場合、復旧後に検索エンジンへ警告解除を申請します。最重要は「サイトを完全に清掃してから申請する」ことです。
手順(Google Search Consoleを例に)
- サイトを完全に復旧する
- 不正ファイルやバックドアを削除し、脆弱性を修正します。検索エンジンに申請する前に再発がないことを確認してください。
- Search Consoleにサイトを登録し、所有権を確認する
- サイト所有者としての確認が必要です。既に登録済みなら次へ進みます。
- 問題箇所の特定と証拠の記録
- 不正ページのURLや改ざんされたスニペットのスクリーンショットを保存します。復旧前後の差を示すと審査が早く進みます。
- セキュリティ問題のレポート画面から審査リクエストを送る
- Search Consoleの「セキュリティと手動による対策」→「セキュリティの問題」を開き、指示に沿って審査を依頼します。
- サイトマップの再送信とインデックスのリクエスト
- 修正済みページのURLを再送し、必要なら個別にインデックス登録をリクエストします。
- 結果の確認と対応
- 審査には数日から数週間かかります。問題が残ると却下されるので指摘内容に従い再修正して再申請してください。
その他の検索エンジン
- BingやYahooでも同様にウェブマスターツール(Bing Webmasterなど)で申請します。各ツールの手順に従って所有権確認と審査依頼を行ってください。
備考と注意点
- 申請前に必ずブラウザのキャッシュやCDNで古いデータが残っていないか確認してください。キャッシュが原因で修正が反映されないことがあります。
- 審査メッセージは丁寧に書き、修復した具体的な措置(削除したファイル名、パッチ適用など)を明記すると有利です。
ホームページの復旧とテスト
復旧前の最終確認
修復作業を公開する前に、すべての変更点をリスト化します。重要なファイルやデータベースのバックアップを別の安全な場所に保存してください。万が一に備えて、復元手順を明確にします。
バックアップからの復元手順
信頼できるバックアップがある場合は、まずステージング環境で復元して動作確認します。本番に戻す前に、不正ファイルや不明なスクリプトが残っていないかを必ずチェックします。
動作確認の主要項目(例)
- トップページや主要ページが正しく表示されるか
- ログイン・問い合わせフォームが正常に動作するか
- リダイレクトやリンクが意図した先に飛ぶか
- SSL(https)が正しく有効か
- サイト速度が極端に遅くないか
セキュリティ検査とログ確認
ウイルス・マルウェアスキャンツールで再検査し、サーバーログや管理ログに不審なアクセスがないか確認します。cronや外部連携の設定も点検してください。
テスト後の公開手順
ステージングで問題がなければ、まず限定公開やメンテナンスモードで本番へ反映します。公開直後はアクセスやエラーログを集中監視し、異常があれば直ちにロールバックできる準備をしておきます。
注意点
パスワードやAPIキーは必ず変更し、管理者アカウントのアクセス権を最小限にしてください。復旧直後は数日間、外部スキャンや検索結果を確認して改ざんの痕跡が残っていないか見守ってください。
再発防止策・セキュリティ対策
定期的なバックアップ
定期的にサイト全体(ファイルとデータベース)をバックアップします。自動化して、オフサイト(別のクラウドや外付け)にも保存してください。例:毎日差分、週次フルバックアップ。
CMS・プラグインの最新化
CMSやテーマ、プラグインは最新の状態に保ちます。更新前にテスト環境で動作確認すると安全です。古いプラグインは削除しましょう。
WAF(アプリケーション防火壁)の導入
WAFを導入すると、不審なリクエストをブロックできます。クラウド型サービスやホスティングのオプションを利用すると設定が簡単です。
アクセス制限とログ管理
管理画面へのアクセスをIP制限や二段階認証で守ります。ログを定期的に確認し、異常な動きを早期に発見します。例:深夜の大量ログイン試行を監視。
ID・パスワード管理の徹底
強力なパスワードを使い、パスワード管理ツールで一元管理します。管理者アカウントは必要最低限に絞り、権限を細かく設定します。
定期的な脆弱性検査と教育
簡単な自動診断ツールで定期チェックを行い、問題が見つかれば速やかに修正します。スタッフへセキュリティ教育を行い、フィッシング等の注意喚起をします。
インシデント対応計画の整備
再発時にすぐ動けるよう手順書を作成します。連絡先、バックアップ復元手順、ログ収集方法などを明確にしてください。
関連被害(SEOポイズニング・リダイレクト等)
概要
検索結果に不正なタイトルや説明、知らないページが表示されたり、サイト訪問時に別の悪質なページへ自動転送される被害を指します。表面的な修復では再発することが多く、改ざんファイルの徹底排除が必要です。
主な症状
- 検索結果に見覚えのないページや広告が表示される
- 訪問すると別ドメインへリダイレクトされる
- サイト内に不審なファイルや長い怪しいコードが混入している
優先対応(手順)
- 影響範囲の特定:サーチコンソールやアクセスログで表示されるURLを洗い出す
- 改ざんの完全除去:バックアップと照合し、不審ファイルや埋め込みコードを削除する
- リダイレクト設定確認:.htaccessやサーバー設定、JSでの転送も確認する
- クリーンな環境で復旧し動作確認する
検索エンジンへの対応
修正後はサーチコンソールで問題を報告し、該当URLの削除依頼や再クロールを促してください。検索結果に残る場合はキャッシュ削除を申請します。
被害拡大防止と利用者対応
管理者・FTP・データベースのパスワードを変更し、端末のウイルスチェックを行ってください。利用者に被害のおそれがある場合は速やかに通知し、必要ならパスワードリセットを促します。
注意点
表面的な修復だけだと再発します。しかし、根本原因(バックドアやスケジュールタスク)を見つけて除去すれば、検索結果の汚染を確実に改善できます。
事前にできる予防策
ツールの導入
セキュリティソフト、改ざん検知(ファイル整合性監視)ツール、不正アクセス検知サービスを入れます。例えば、改ざん検知は重要ファイルの変更を自動で通知します。WAF(Webアプリケーションファイアウォール)やSSL導入で外部攻撃の入り口をふさぎます。
定期点検とテスト
専門家によるペネトレーションテストを年1回以上実施します。自動脆弱性スキャンを週次で回し、プラグインやモジュールの更新漏れを見つけます。バックアップは定期的に作成し、復元手順を必ず試します。
運用・設定の見直し
管理者アカウントは最小限にして権限を絞ります(最小権限の原則)。多要素認証(MFA)を必須にし、強いパスワードを運用します。FTPはSFTPに替え、公開フォルダの書き込み権限を制限します。不要なテーマやプラグインは削除します。
教育と体制整備
担当者に対して定期的なトレーニングを行い、怪しいメールやリンクの見分け方を共有します。インシデント発生時の連絡フローと復旧手順を文書化しておきます。
実践チェックリスト(例)
- 自動バックアップと復元テスト
- 改ざん検知ツールの設定とアラート確認
- プラグイン・ソフトの定期更新
- 管理画面のアクセス制限とMFA
- 年1回のペネトレーションテスト
これらを組み合わせると、改ざんや乗っ取りの早期発見と被害縮小につながります。
