Webサイトの改ざんとは？恐ろしい手口や効果的な対策方法を解説します

現代社会では法人・個人問わず、情報の発信やサービスの提供を行う上で、Webサイトがなくてはならない存在となっています。

現代社会で必須のWebサイトですが、不正にアクセスされ乗っ取られ、データを改ざんされる問題も多く発生していることをご存知でしょうか？

2018年6月7日には、カプコンの人気ゲーム「モンスターハンター」の公式サイトが、ロシア語のページに改ざんされるトラブルが発生しました。ちなみに「モンスターハンター」の公式サイトは、WordPressで構築されていた様子。

サイトの改ざんはWebサイトの管理者であれば、他人事ではありません。法人・個人問わず、乗っ取り（改ざん）被害にあう可能性はあるのです。

今回の記事では、Webサイト乗っ取り（改ざん）の手口や対策について解説しています。

「自分のサイトは大丈夫だろうか」

運営しているWebサイトに対して不安があるという方も多いでしょう。そのような方は本記事を参考に、あなたのサイトの危険性や、対策方法をしっかりチェックしてみてください。

サイト改ざん（サイトの乗っ取り）とは？

サイト乗っ取り（サイト改ざん）とは、サイト運営者以外の第三者が不正にアクセスし、サイトの内容を書き換えてしまうことです。

サイトが改ざんされることによって、下記のような問題が起こる可能性があります。

• 全く別のサイトが表示され、あなたのサイトが消えてしまう
• データを盗まれる（個人情報漏洩）
• サイトにウイルスを埋め込まれ、知らない間にばらまいてしまう

このようにサイト乗っ取り（サイト改ざん）は運営側だけでなく、サイトの利用者にも甚大な被害を与える可能性がありますので注意が必要です。

「うちは小さな会社だから狙われない」
「個人でやっている趣味のサイトだから大丈夫」

これらは、全て誤解です。サイト乗っ取りは、決して大企業だけの問題ではありません。むしろ、大企業に比べセキュリティが甘くなってしまっている会社や個人のサイトの方が、乗っ取られてしまう確率が高くなることもありますので、油断は禁物です。

サイト改ざんの手口

代表的なサイト改ざんにつながる手口を確認しておきます。

• Webサイトの脆弱性を突く
• 管理者アカウントを乗っ取る

大きくは２つのパターンに分類されます。

①Webサイトの脆弱性を突いた改ざん

脆弱性を突いてくる攻撃は、定期的に問題となっています。ニュースなどの報道番組で取り上げられることも、少なくありません。

特に、WordPressは世界でもっとも利用されるWebサイト構築のシステムだけあって、その分ハッキングを狙うハッカー達が多くいます。

ハッキングや改ざんを防ぐためには本記事を参考にされるとともに、万が一セキュリティ系の事故が起きても復旧できるよう、常にバックアップを取っておくことも重要です。

SQLインジェクション

不正なSQL文の挿入を意味します。サイトのフォーム内に不正にSQLの文を入力し、システムの誤作動を起こさせる手法です。

クロスサイトスクリプティング

不正なJavaScript、HTMLなどを含めたURLをクリックさせ、ユーザーのブラウザに本物とそっくりな偽ページを表示させる手法です。

クロスサイトリクエストフォージェリ

訪問ユーザーとWebサーバー間のセッション管理の隙を突いてくる手法。不正なURLをクリックさせ、ユーザーになりすまして不正操作を行う。

ゼロデイ攻撃

サーバーやCMSなどに脆弱性が見つかったとき、一般的には開発側から更新プログラムが提供されます。この更新プログラムが準備されるまでの期間を狙ったものをゼロデイ攻撃と呼ばれています。
などが挙げられます。

②管理者アカウントを乗っ取り行う改ざん

サイトの管理者のパソコンが乗っ取られてしまうケースもあります。

一度、乗っ取られてしまうと簡単に情報が抜き取られてしまいます。また、発覚するまでに時間がかかりやすいので、注意しなければいけませｎ。

標的型攻撃

その名の通り、特定の企業や組織、個人などを標的にした攻撃です。

開封させるよう念入りに仕組んだスパムメールを企業の部署に送りつけ、偽サイトへの誘導やマルウェアに感染させます。主に情報を盗むことが目的とされています。

ソーシャルエンジニアリング

特定のユーザーに対して、SNSをアプローチしアカウントを盗む手法です。人間の心理的な部分や隙を突き、自然に近づいてくるのが特徴です。

以上のように、改ざんには２つのパターンがあるので意識しておきましょう。
その他にも、国内で話題になった具体的な事例はこちらの記事で紹介しています。

サイト改ざんで注意すべき３つのポイント

では、具体的にどういったサイトが改ざんの被害に合いやすいのでしょうか。

ここでは、改ざん被害に遭う可能性が高いサイトの特徴３つをご紹介いたします。

1.使用しているCMS（WordPress等）のバージョンが古い

最近は多くのWebサイトで、WordPress等のシステム（CMS）が利用されています。これらのCMSはセキュリティを強化するため、バージョンアップが繰り返し行われているのです。

しかし、WordPress等のCMSでサイトを構築している人の中には、アップデートを行わず古いバージョンのまま使用している方もいます。

そのまま古いバージョンのWordPressを使用することで、セキュリティの脆弱性（Webサイトの弱さ）が放置され、サイト乗っ取り（改ざん）のリスクが高くなってしまいます。

2.IDやパスワードの管理に不備がある

WordPress等の管理画面にログインするためには、IDやパスワード、サーバーにアクセスするためにはFTP情報が必要です。これらの管理体制が甘いと、第三者が情報を奪いやすくなります。

IDやパスワード、FTP情報がわかれば、誰でも簡単にあなたのサイトを乗っ取ることができますので、これらの情報は厳重に管理しなければなりません。

特に複数の人が、全ての管理者権限のある、同じログインIDやパスワードを使っている状態は、大変リスクがあります。

他にも、IDやパスワードを覚えやすいように、簡単なものに設定していたり、複数のサイトで同じパスワードを設定していたりするのも危険な状態だといえます。

3.ウイルスソフトを導入していないパソコンを使用している

サイトを管理している人のパソコンが、ウイルス対策されていない場合も非常に危険です。

パソコンがコンピュータウイルスに感染すると、パソコン自体を乗っ取られて、パソコン内部の情報を奪われる可能性があります。

サイトの乗っ取りでデータの流出が起きると、あなたの大事なサイトが改ざんされるリスクが一気に高まってしまいます。

サイト改ざんへの効果的な６つの対策方法（簡単にできます）

サイトが乗っ取られてしまうと、サイトの運営が停止するだけではありません。情報の漏洩やウイルスをばら撒く原因になってしまう可能性もあります。

万が一の被害拡大を防ぐためにも、以下のようなサイト改ざん対策は不可欠です。

• CMSのバージョンは常に最新の状態にしておく
• IDやパスワードのセキュリティ管理を強化する
• データベースパスワードを強化する
• サーバー管理画面のパスワードを強化する
• パソコンのウイルス対策を行う
• 定期的にバックアップを取っておく

あなたのサイトが乗っ取られないための対策について、説明していきます。

対策方法①：WordPressややプラグインのバージョンを最新の状態にしておく

WordPressなどのCMSで構築されたサイトの場合は、必ずアップデートを行い最新のバージョンを使用するようにしてください。

さらに、WordPress本体のバージョンアップだけでなく、プラグイン等も最新のものにアップデートしておくことを推奨します。

WordPress本体やプラグインには、定期的に欠陥（バグ）が発見されます。古いバージョンのままバグが残っていると、そこを攻撃されてサイトが乗っ取られる可能性があります。なるべく最新のバージョンにしておきましょう。

対策方法②：IDやパスワードのセキュリティ管理を強化する

CMSの管理画面にログインするためのIDやパスワードは、アルファベットや数字を組み合わせた複雑なものにしておくと推測されにくくなります。ID
IDを「admin」など、初期設定のままにしておくことは止めましょう。

さらに、全ての管理者権限のあるIDやパスワードを複数の人が使用することは避け、個別に権限を設定したIDやパスワードを発行しましょう。そうすることで、セキュリティ強化につながります。

そこで使っていただきたいのが、「大英文字、小英文字、数字」＋「１０文字」の組み合わせによるパスワードです。この組み合わせであれば、まず突破される心配はありません。

対策方法③：データベースパスワードを強化する

WordPressの改ざん事例には、データベースに直接アクセスされるケースがあります。
この原因の多くもパスワードによるものです。そのため、パスワードを強固にすれば、データベースにアクセスされる心配はありません。
ただし、データベースのパスワードはWordPressのコアファイルでも使用しています。そのため、パスワードを変更した際は該当ファイル「wp-config.php」のデータベースパスワード部分も併せて変更する必要があります。

対策方法④：サーバー管理画面のパスワードを強化する

４つ目の対策方法は、サーバー会社のログイン面の強化です。仮にWordPressやサーバー、データベースのセキュリティが頑丈だとしても、サーバー管理画面にログインされてしまうと意味がありません。
特にインターネットに関わる人は利用するサービスが多いので、同じパスワードを設定しがち。セキュリティ面を考慮するのであれば、簡単に突破されない強固なパスワードに設定し直すことを推奨します。

対策方法⑤：パソコンのウイルス対策を行う

サイト管理者が使用するパソコンのウイルス対策は、しっかりと行いましょう。

また、セキュリティソフトを導入するだけでなく、使用しているパソコンのOSやブラウザ、ソフトなどを常に最新の状態にしておくのも大事です。OSやブラウザのアップデートも、セキュリティ面の強化になります。

パソコンのセキュリティ強化は、サイトの改ざんを防ぐ基本です。普段から意識しておきましょう。

対策方法⑥：定期的にバックアップを取っておく

万が一、サイトの改ざん被害に遭ってしまったときのことを考え、定期的にバックアップは取っておきましょう。

WordPressを乗っ取られた後で対策しても、手遅れのケースがあります。すぐにサイトを復旧できるよう、サイトのデータを定期的にバックアップしておくことが大事です。

WordPressバックアップ方法については下記にまとめました。是非参考にしてください。

最近では、自動的にバックアップを取得してくれるレンタルサーバーも増えてきました。あなたが利用しているサーバーはどうでしょうか。

サイトの放置はNG！定期的なメンテナンスは必須

運営しているサイトを、普段からチェックせずに放置していると「サイトの改ざん自体に気づかない」というケースがあります。実はこれが最も恐ろしいパターンと言えます…。

乗っ取りやサイトの改ざんに気づくことが遅れるほど、確実に被害は大きくなるからです。

最悪の事態を避けるためには、定期的なサイトのメンテナンス、もしくは改ざん検知ツール（プラグインなど）を利用するべきです。

WordPressの改ざんを検知するプラグインとは

WordPressサイトの改ざんを検知してくれる便利なプラグインがあるのをご存知でしょうか。今回は「wpdoctor」や「SiteGuard」を紹介します。

どちらのプラグインも日本国内の企業が開発しているので、安心感があります。

SiteGuardのセキュリティ機能について

SiteGuard WP Pluginとは、WordPressのセキュリティアップを目的に開発されたセキュリティ用プラグインです。

SiteGuardの代表的な機能は次の通りです。

• 不正ログインの防止
• コメントスパムの防止
• プラグインの脆弱性チェック
• 攻撃の結果をPDF形式のレポートで出力
• 指定したアドレスへ検出内容を通知

SiteGuardは国内シェアも高く、Webサイトセキュリティの専門企業が開発したプラグイン。推奨できるプラグインの１つです。

Wpdoctorのセキュリティ機能について

Wpdoctorはファイル改ざんを検知・駆除するほか、感染したファイルがハッカーによる不正なコードの埋め込みかどうかまで判定できる、非常に優れたプラグインです。

• サイトの改ざんを検知する
• 指定したアドレスへ検出内容を通知
• 不正ログイン防止
• コメントスパムの防止
• 怪しいIPからのアクセスをブロックする
• WordPressや導入したプラグインの脆弱性を確認する

Wpdoctorをインストールした後、ウィルスチェック（Malware scan）をクリックするだけなので、手軽に使用できます。今回紹介した２つのプラグインは有料版と無料版がありますが、まずは無料で使ってみるのが良いでしょう。

※上記以外のツールやサービスもありますので、気になる方はこちらもチェックしてみてくださいね。

参考記事WordPressの脆弱性とは？対策とセキュリティ強化に役立つプラグイン６選

サイト改ざんに関する調査/復旧作業を承ります。

サイト乗っ取り（サイト改ざん）対策を行っていても、100％安全ということではありません。

「運営しているサイトが、別のサイトになっている」
「自分のサイトにアクセスするとセキュリティソフトの警告が表示される」

上記のような場合は、あなたのサイトが改ざんされている可能性が高いでしょう。サイトの改ざん被害にあってしまった場合は、弊社にて調査を行うことも可能です。

また、それにサイト改ざんによるサイトの復旧作業にも対応しております。

ぜひ一度、下記のお問い合わせフォームよりご相談ください^^