ホームページが改ざんされた場合の復旧方法

　自分のホームページが改ざんされ、訪問した人のパソコンをウイルス感染させてしまう事件が増えてます。（ウイルス散布サイト化）

• Googleの検索結果でヒットしたページに『このサイトはコンピュータに損害を与える可能性があります。』という警告が表示される （Googleセーフブラウジング） → 詳細
• ブラウザのMozilla FirefoxやGoogle Chromeでサイトにアクセスすると、”攻撃サイト”としてアクセスがブロックされる （Googleセーフブラウジングのデータを利用） → 詳細
• ホームページを訪問した人やサーバーの管理会社からメールや掲示板などでサイトの改ざん報告を受ける
• 偽ウイルススキャンページやポルノサイトに強制リダイレクトされる
• 広告やブログパーツなどの外部コードが改ざんされ、まきぞいを受ける

◆ ウイルス感染しパスワード窃盗、Webアプリケーションの脆弱性悪用
　２００９年以降に特に多いのが、ホームページの更新に使っているWindowsパソコンがウイルスに感染し、アカウント情報（パスワードやユーザーID）が盗まれる事例です。

1. アカウント情報が漏れたことによる改ざん
   （ウイルスが FTP接続を盗聴 or FTPソフトの設定データを奪取）
2. Webアプリケーションの脆弱性を悪用した改ざん ＜今までのトレンド＞

　ニュースで特に話題になったのが「ガンブラー」（Gumblar）です。日本国内の企業・公的機関のサイトのほか、個人が趣味で運営してるようなサイトも含め、有名・無名に関係なく世界中の色んなサイトが改ざん被害を受けてます。

◆ 対策してないWindowsユーザーは・・・
　こちらのウイルス対策をちゃんとやってないと、埋め込まれた不正なコードにより悪意のあるページへと強制的に誘導され、ウイルスが発動してしまう恐れがあります。つまり、ページを単にブラウザ（Internet Explorer、Firefox、Chrome、Operaなど）で開いただけでパソコンがウイルスに感染してしまうことになります。今まで通用した『怪しいサイトやエッチなサイトに行かなければ安全』という神話がまさに崩れました。

ウイルス感染の影響がある環境
Windows	影響あり
Mac	影響なし
Linux	影響なし
携帯電話	影響なし
ゲーム機	影響なし
人間	影響なし

　ウイルスを散布してしまう被害の他にも、外部リンクを稼ぐための不正なSEO（検索エンジン最適化）目的で”隠しリンク”がページ内に大量に書き込まれたり、見ず知らずのHTMLファイルがアップロードされ攻撃者が用意した不正なサイト（偽ウイルススキャンページ、ポルノサイト、インチキ薬局サイト、フィッシング詐欺サイトなど）に訪問者を誘導させる踏み台になってしまったり、・・・ホームページが乗っ取られてしまいます。

　同様の内容については下のようなページも存在します。

◆ ウェブサイトと Google の関係 マルウェア （Googleウェブマスターツール ヘルプ）
http://www.google.com/support/webmasters/bin/topic.py?hl=jp&topic=25531

◆ ホームページからの感染を防ぐために ホームページ開設者の対処方法 （サイバークリーンセンター）
https://www.ccc.go.jp/detail/web/#2

◆ ウェブサイト改ざんに関する注意喚起 （独立行政法人 情報処理推進機構）
http://www.ipa.go.jp/security/topics/20091224.html

◆ WordPress FAQ/ハッキング・クラッキング被害
http://wpdocs.sourceforge.jp/FAQ/

　管理がまったく及ばない外部コードが改ざんされたことによるまきぞい被害も起こってます（ノートン警察ブログパーツ、XREA広告、MicroAd広告）。以下は、自分の管理下のサーバーで問題が起こった時の対処方法になります。

１. ホームページの閉鎖とパスワード変更
　まず、自分のホームページからウイルス感染被害者をこれ以上出さないようにするため超速で閉鎖します。閉鎖方法は、ホームページを公開してるサーバーからHTMLファイル、JavaScriptファイルなどを物理的に削除してください。（サーバーの設定が可能ならステータスコードを「404 Not Found」ではなく「503 Service Unavailable」を返すようにする）

　ファイルの削除はFTPクライアントソフトで行ないますが、ブラウザから利用できるファイルマネージャーが用意されてるならそれを利用してください。画像ファイル、動画ファイル、音楽ファイルは残しておいても問題ないですが、キッチリやりたい場合はすべてクリーンにします。

　というのも、改ざんされるサーバー上のファイルは、トップページのHTMLファイルだけ、JavaScriptファイルだけ、各階層のインデックスに相当するHTMLファイルだけ、HTMLファイルやJavaScriptファイルなどの全ファイル、とパターンがいろいろとあります。加えて、不審なファイルがアップロードされたり、.htaccessファイルの不正な書き換え・アップロードもあります。（個別に調べるにはコチラ、Googleウェブマスターツール）

　手元にオリジナルのファイルがない場合は、別枠でダウンロードしてください。ダウンロードするファイルには、悪意のある不正なコードが含まれてる可能性が高いので、ゼッタイにオリジナルのファイルに上書きしないようにしてください。当然ながら、このファイルをそのまんまブラウザで開くのはご法度です（拡張子を変更しておく）。

• パソコン（ハードディスク）に保存されてる正規ファイル
  ⇒ 基本的にオリジナルのファイルは問題ない可能性が高い
• ホームページのサーバー上に存在している正規ファイル
  ⇒ 改ざん攻撃者により不正なコードが埋め込まれてる可能性あり！
  ⇒ ファイルのタイムスタンプを確認して判断！
• サーバー上に存在する見ず知らずのファイル
  ⇒ 改ざん攻撃者がアップロードした不正なファイルである可能性あり！

　サーバーからファイルを削除する作業が完了したら、すぐにホームページの更新に使われるアカウント情報（パスワード）を変更してください。パスワードは改ざん攻撃者に盗まれてる可能性が高いので、変更しないままだと再び改ざんされてしまいます。ブラウザからサーバーの管理画面にアクセスしてパスワードの変更作業を行ないます。

２. パソコンのウイルス駆除
　ホームページの更新に利用してるパソコンがパスワードを盗むウイルスに感染してる可能性が高いので駆除します。導入してるセキュりティソフトを最新状態に更新してフルスキャンします。

　無料なオンラインスキャンや簡易ウイルス駆除ツールも利用してウイルスチェックしてください。普通のセキュリティソフト（無料体験版）もあります

　ただ、基本的にパソコンのクリーンインストール（リカバリ、初期化）が推奨されます。一度ウイルスにやられたということは、パソコンそのものが乗っ取られていてもおかしくないので、検出できない未知のウイルスが住み着いてる恐れもあります。たとえば、導入してるウイルス対策ソフトを機能停止に陥らせたり、マイクロソフトやセキュリティ会社のホームページにアクセスできないようにして、ウイルス対策ソフトの定義ファイル更新を不能にさせたりする場合もあります。

　クリーンインストールはパソコンを購入した段階の状態に戻すことです。やり方は、パソコンについてくる取り扱い説明書に書いてあります。クリーンインストールする前に、大事なデータや重要なファイルをＣＤ/ＤＶＤ/ＢＤの外部記憶装置にバックアップしてください。

３. ウイルス感染原因と対策
　パスワードを盗むウイルスに感染してしまった原因は、最近特に１番目が多いです。必ず対策をしてください。

• ウイルスの強制発動に悪用されるプログラムの脆弱性を解消してない （更新は無料）
  ⇒ Windows Update（Microsoft Update）を行なってない
  ⇒ 「Java」（JRE）が古いバージョンのままで最新版に更新してない
  ⇒ 「Adobe Reader」と「Adobe Flash Player」が古いバージョンのままで最新版に更新してない
  ⇒ 「Apple QuickTime」が古いバージョンのままで最新版に更新してない
  ※ 導入した覚えがなくてもパソコン購入段階で最初からインストールされてる場合あり
• セキュリティソフト・ウイルス対策ソフトを導入してない （無料体験版はコチラ）
  ⇒ Windowsパソコン自体にはウイルスを検知してくれる機能がないです
  ⇒ 発動するウイルスは頻繁に差し替えられてることもあるので検出できない場合があります

　ホームページのアカウント情報（パスワード）を盗む手段として、FTPソフトの転送情報を盗聴して奪取するウイルス、ハードディスク内に保存されてるFTPソフトの設定データを引っこ抜くウイルスが確認されてます。場合によっては、更新可能なパソコン（IPアドレス）を制限するような対策も必要です。

1. FFFTP、ホームページビルダー、Dreamweaverなどの転送情報（FTP接続）の盗聴
   ⇒ 転送データを暗号化してやり取りするFTPS/SFTP/SCP接続の利用
2. FFFTP、FileZilla、WinSCPなどの設定データの奪取 （詳細、JPCERT/CC）
   ⇒ FTPソフトのマスターパスワード機能の利用

４．ホームページの再開
　ホームページのサーバーに手元のクリーンなオリジナルのファイルを再アップロードします。数日間はホームページの様子を観察してください。パスワードを変更済みにもかかわらず、再び改ざんされた場合はウイルスに再感染したか感染しっぱなしということになります。また、Webアプリケーションの脆弱性を突かれて侵入を許してる可能性もあります。

　ホームページの訪問者に改ざん被害を受け、訪問者にウイルスを散布していた状態になっていたことをアナウンスしてください。強制的にウイルス感染するような影響があったのは、基本的に下の対策をちゃんとやってないWindowsパソコンだけです。Googleの検索結果やブラウザに表示される警告の解除についてはこちら。

◆ 初心者必見！ 究極の感染対策「6つの約束」を実行しよう （So-netセキュリティ通信）
http://www.so-net.ne.jp/security/news/newstopics_201005.html

　多くの人がインターネットを閲覧するブラウザに「Internet Explorer」（IE）を利用してますが、サブで「Mozilla Firefox」（＋「NoScript」アドオン）か「Google Chrome」を導入しておくことをおすすめします。別にブラウザを乗り換える必要はなくって、保険として導入しておくだけで十分です。

　脆弱性の解消が済んでいるWindowsパソコンであることが前提ですが、ホームページに見ず知らずのコード（HTMLタグ）が挿入されるので、ブラウザで右クリックして「ソースの表示」を選択すると確認できます。単にブラウザで表示された見た目ではなかなか判断できません。

・ 不正なコードの挿入位置の例

1. BODYタグ<body>の前後
2. HTMLタグの終端</html>の前後 （ページの最後尾付近）
3. ファイルの最後尾付近 （外部JavaScriptファイルの場合）

・ 挿入される不正なコードの例 （JavaScriptタグ／インラインフレームタグ）

• <script>（〜意味不明な文字列〜）</script>
<script type="text/javascript">（〜意味不明な文字列〜）</script>
<script src="http://（〜見ず知らずのURLアドレス〜）"></script>
• <iframe src="http://（〜見ず知らずのURLアドレス〜）">

　ただ、これらは広告、アクセス解析、アクセスカウンタ、ブログパーツ、動画設置などのコードでも普通に使われるので、必ずしも悪意があるとは限りません。

☆ ページが文字化けする!?
　ページ全体の文字化けは、サイト改ざんとはまず関係ありません。原因として一番多いのが、ブラウザが単に文字コード（エンコード）の判定に失敗してるだけです。Yahoo!ヘルプやとほほのWWW入門さんを参照してください。