不正アクセス(ファイルの改ざん、不正なファイル設置)とは
不正アクセスとは、アクセス権限を持たない悪意のある人物がサーバーや情報システムの内部へ不正に侵入する行為のことです。
不正アクセスによりファイルの改ざん、不正なファイルの設置がされると、意図しないコンテンツが公開されてしまったり、閲覧者のPCやスマートフォンなどがウイルス感染してしまったり、個人情報が窃取されてしまうといった恐れがあります。
不正アクセス(ファイルの改ざん、不正なファイル設置)の原因
不正アクセスの主な原因には以下の2通りがあります。
- ログイン情報が流出する
-
- ID・パスワードを推測される
- ID・パスワードを盗み見られる
- フィッシングやマルウェア、他システムとの使い回しによりID・パスワードが漏洩する
- セキュリティの脆弱性を突いたサイバー攻撃
-
- 脆弱性とは、プログラムの不具合や設計上のミスが原因となって発生するセキュリティ上の欠陥のこと。
いずれの原因についても、事前に対策を実施しておくことで不正アクセスを防止したり、被害を最小限に抑えることができます。
不正アクセスを防ぐ対策については、「不正アクセスの予防策」を確認してください。
不正アクセス(ファイルの改ざん、不正なファイル設置)された際の対処方法
不正アクセス(ファイルの改ざん、不正なファイル設置)の被害を受けてしまった場合、被害の拡大を防ぐため早急に以下の対応を行ってください。
- セキュリティチェック
- 不正なコンテンツの削除
- ホームページ再開の復旧作業
- 管理パスワードの変更
- サブFTPアカウントのパスワードの変更/削除
セキュリティチェック
セキュリティソフトやOS搭載のセキュリティ機能(Windows Defenderなど)にて、利用中の端末が危険なウイルスに感染していないか確認してください。
不正なコンテンツの削除
ファイルマネージャまたはFTPソフトを用い、以下いずれかの方法にて不正なコンテンツを削除してください。
マニュアル:ファイルマネージャ
マニュアル:FTPソフトの設定
- 不正なコンテンツを削除する前にホームページの復旧作業について「※ホームページ再開の復旧作業」を確認してください。
サーバーアカウント内のすべてのファイルを削除してください。
不正アクセスの被害に遭った場合、不正なファイルの他にバックドア(不正アクセス容易とする侵入経路)が設置されている可能性が非常に高くなります。
そのため、一度すべてのファイルを削除することが強く推奨されています。
エックスサーバー社にて不正アクセスの発生を検知した場合、
件名「【エックスサーバー】■重要■ お客様のサーバーアカウントにおける不正なアクセスの検知および制限の実施について(xsvc************)」といったメールを送信されます。
そのメール内に記載されている「不正プログラムと思われるファイル一覧」のすべてのファイルについて削除を実施してください。
- 「不正プログラムと思われるファイル一覧」に記載されているファイル以外にも不正なファイルが存在する可能性があります。必ず自分自身でもすべてのファイルを精査するようにしてください。
自身ですべてのファイルを精査する際、ドメイン名のフォルダより上の階層に不正ファイルが設置されていない場合、以下の方法でも不正なコンテンツを削除することができます。
該当ドメインの初期化
サーバーパネル内の「ドメイン設定」にて該当ドメインの「初期化」をクリックし、処理方法「ウェブ領域・設定の初期化」を選択してください。
ドメイン初期化により、該当ドメインのウェブ領域に設置されているすべてのファイルが削除されます。
なお、本作業によるデータベースの初期化・削除はありません。
マニュアル:ドメインの初期化
WordPress初期化
サーバーパネル内の「WordPress初期化」にて該当WordPressの「初期化」をクリックしてください。
- WordPress初期化により不正コンテンツを削除できる場合のみ「WordPress初期化」メニューは表示されます。
WordPress初期化により、以下を除くすべてのWordPressデータが初期化されます。
- 投稿記事などのMySQLデータベースの内容
- メディアファイル(/wp-content/uploads/配下のファイル)
なお、本作業にてプラグインやテーマファイルが削除されるため、再インストールや再設定が必要となります。
WordPressリカバリー
サーバーパネル内の「WordPressリカバリー」にて該当WordPressの「復旧に進む」をクリックし、以下いずれかの項目をを選択、実行してください。
- 不正アクセスを受けたWordPressの復旧
投稿記事などのMySQLデータベースの内容、メディアファイル、インストールされているプラグインやテーマを全て引き継ぎ、対象のWordPressについてのみ補正を行います。 - WordPress本体のリセット
引き継ぐデータ(データベース/メディアデータ、テーマ/プラグイン)を選択したうえでWordPress本体をリセットします。
マニュアル:WordPressリカバリー
ホームページ再開の復旧作業
以下いずれかの方法にてホームページ再開の復旧作業を実施してください。
- データファイルのアップロード
- データベース再利用による復旧(WordPressの場合)
- 自動バックアップデータからの復旧
データファイルのアップロード
不正アクセスが発生する以前の改ざんされていないクリーンなデータをアップロードしてください。
データのアップロード時における注意事項
不正アクセス発生日時付近のバックアップなどからデータをアップロードする場合、必ず以下いずれかの方法にてファイルが改ざんされていないことを確認してください。
- 手元に保管しているオリジナルのファイルと内容を比較する
- セキュリティソフトにてファイルスキャンを実施する
改ざんされているファイルを再びアップロードしてしまうと、再度不正アクセスされてしまう可能性が非常に高くなります。
データベース再利用による復旧(WordPressの場合)
不正なコンテンツの削除を実施する前に、WordPressの「wp-config.php」ファイル内に記載されているMySQL関連の情報をメモなどに控えておいてください。
- MySQLデータベース
- MySQLデータベースユーザー
- MySQLデータベースユーザーのパスワード
- MySQLホスト
不正なコンテンツ削除後は、公式サイト(https://ja.wordpress.org/)より最新版のWordPressを入手し、サーバー上にアップロードしてください。
その後、先程控えておいたMySQL関連の情報を「wp-config.php」ファイルに再設定することで投稿記事などの復旧が可能です。
なお、本作業後はプラグインやテーマファイルの再設定が必要となります。
配布サイトから最新版をダウンロードしてください。
自動バックアップデータからの復旧
サーバーパネル内の「バックアップ」機能により過去のデータは自動でバックアップされています。
これによるデータ復元を行う場合は、必ず不正アクセスが発生する以前の日付のクリーンなバックアップデータを選択してください。
バックアップ機能について詳しくは以下サポートページをご覧ください。
マニュアル:自動バックアップ機能
マニュアル:自動バックアップからのデータ取得
マニュアル:自動バックアップからのデータ復元
一部のユーザーにおいてはファイル数過多などによる負荷が原因でバックアップ機能の対象から除外されている場合があります。
自動バックアップデータからの復旧における注意事項
エックスサーバーから不正アクセス発生時に送られるメール内に記載の日時が明確な不正アクセスの発生日時とは限りません。
そのため、復元を検討している日付のバックアップデータについて、必ず自身で改ざん・不正なファイル設置がないか精査し、問題ないことを確認したうえで、復元するようにしてください。
また、バックアップデータから復旧する際も、不正アクセスの根本原因が解決されないうちは再発の可能性が非常に高くなります。
後述の「不正アクセスの予防策」についても対応を行ってください。
管理パスワードの変更
XServerアカウントやサーバーパネル、WordPressなどの設置プログラムの管理パスワードを変更してください。
また、複数のサーバーIDや当社の他サービスを契約している場合はすべてのアカウントについてパスワード変更を行うことが強く推奨されています。
XServerアカウント:パスワード再設定フォーム
サーバーパネル:パスワード再設定フォーム
WordPressの場合
WordPress管理画面を開き、左メニュー「ユーザー」-「プロフィール」をクリックしてください。
画面下部にある「アカウント管理」にて新しいパスワードを設定し、「プロフィールを更新」をクリックしてください。
パスワード設定における注意事項
以下のようなパスワードは第三者による推測が容易となるため避けてください。
- IDやメールドレスと同じ文字列
例: メールアドレスが「info@example.jp」でパスワードが「infoexample」 - 数字のみや英字のみ
例: 38984、aaabbb - 単純な文字列と数字の組み合わせ
例: abc123 - 辞書に載っている単語
例: get - よく使われるパスワード
例: password、admin、qwerty - 過去に設定したものと同じパスワード
- 他システムで使用しているものと同じパスワード
以下の条件を満たす強固なパスワードを設定してください。
- できるだけ長い文字列(最低8文字以上)
- 英字(大文字、小文字)、数字を織り交ぜた完全ランダムな文字列
- 記号「-(ハイフン)」、「.(ドット)」などを含む
サブFTPアカウントのパスワードの変更/削除
サブFTPアカウントを利用した不正アクセスの場合は、以下の方法にて該当のサブFTPアカウントのパスワード変更または削除をしてください。
該当サブFTPアカウントのパスワードの変更またはサブFTPアカウントの削除をする
該当サブFTPアカウントの「変更」、「削除」より、パスワードの変更またはサブFTPアカウントの削除を実施してください。
不正アクセスの予防策
不正アクセスを防ぐために以下の予防策を実施してください。
- 二段階認証の設定
- ソフトウェア更新
- 利用中のWordPressや各プラグイン、テーマファイルの更新
- WordPressセキュリティ設定
- WAF設定
- php.ini設定
二段階認証の設定
二段階認証とは、管理ツールなどへのログインの際に通常のパスワード認証に加え、ワンタイムパスワードを生成する認証コード生成アプリ(Google Authenticatorなど)のような第二の認証方法を設け、セキュリティを強化する仕組みです。
二段階認証設定をすることで通常のパスワード認証に比べ、不正アクセスを抑止できる可能性が高くなります。
詳しくは以下のマニュアルを確認してください。
マニュアル:二段階認証設定
ソフトウェア更新
古いバージョンのプログラムを使用し続けることで不正アクセスの対象として狙われるリスクが高くなります。OSを含めソフトウェアは常に最新の状態を保つよう、アップデートをしてください。
利用中のWordPressや各プラグイン、テーマファイルの更新
CMS(PHPなどで構成された動的サイト)に関しても定期的な更新により不正アクセスのリスク軽減に繋がります。以下の方法にて最新版へのアップデートをしてください。
WordPressの場合
WordPress管理画面を開き、左メニュー「ダッシュボード」-「更新」をクリックしてください。
新しいバージョンがある場合、以下のようなメッセージが表示されているので「バージョン *.*.*-ja に更新」をクリックします。
プラグインの場合
WordPress管理画面を開き、左メニュー「プラグイン」-「インストール済みプラグイン」をクリックしてください。
新しいバージョンが利用できるプラグインでは以下のようなメッセージが表示されているので「更新」の箇所をクリックします。
不要なプラグインがある場合は削除を実施してください。
テーマの場合
WordPress管理画面を開き、左メニュー「外観」-「テーマ」をクリックしてください。
新しいバージョンが利用できるテーマでは以下のようなメッセージが表示されているので「今すぐ更新」の箇所をクリックします。
不要なテーマがある場合は削除を実施してください。
WordPressセキュリティ設定
WordPressセキュリティ設定とは、利用中のWordPressにおいて国外IPアドレスからの接続を制限したり、パスワードの総当り攻撃による第三者の不正ログインを防止するなどといった、不正アクセスに対するWordPressのセキュリティを強化する機能です。
詳しくは以下のマニュアルを確認してください。
マニュアル:WordPressセキュリティ設定
WAF設定
WAF(Webアプリケーションファイアウォール)設定とは、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護することができる機能です。
詳しくは以下のマニュアルを確認してください。
マニュアル:WAF設定
php.ini設定
php.ini設定とは、PHPプログラムの全体的な動作や環境を設定するphp.iniファイルをドメインごとに編集することができる機能です。
自身のWebサイトにてPHPプログラムをご利用中、かつ外部ファイルの読み込み/実行が必要でない場合、項目「その他の設定」より「allow_url_fopen」および「allow_url_include」を「無効(Off)」にすることが強く推奨されています。
- ※XアクセラレータVer.2をご利用中の場合、「allow_url_fopen」は初期値である「有効(On)」が適用されます。
- 該当の設定項目変更は強制ではありませんが、WEBサイトのセキュリティを重視する場合は、XアクセラレータVer.1に変更したうえで「無効(Off)」にしてください。
マニュアル:php.ini設定
マニュアル:php.ini設定で設定可能な項目について
マニュアル:XアクセラレータVer.2利用時に無効となるphp.ini設定について
エックスサーバー公式マニュアル:不正アクセス(ファイルの改ざん、不正なファイル設置)について
