ひとつのサーバーで複数のサイトを管理しており、その中の1サイトが改ざんの被害に遭ってしまった、
そのような場合、改ざん被害は同一サーバー内のその他のサイトに及ぶ場合があります。

通常サイトを改ざんされる場合、攻撃の過程でサーバー内にバックドアと呼ばれるファイルを組み込まれます。
バックドアを設置されると、攻撃者はサーバー内で高い権限を獲得し、当初攻撃対象となったサイト以外の領域でもファイル群の設置や編集が可能になります。

これによって、同じサーバー内に存在する異なるドメインも改ざん被害のリスクにさらされます。
改ざん被害発覚当初には、サーバー内のサイト全てに目に見える被害があるとは限りません。しかし、できるだけ早く対応しなければ被害は横に広がっていきます。

攻撃者は、バックドアを用いることで攻撃可能なサイトが複数あることを簡単に確認できます。仮に一部のサイトを復旧し、その際にバックドアを取り除いたとしても、他のサイトの領域に設置したバックドアや不正アカウントで攻撃の継続が可能です。攻撃の入り口となったサイト以外の領域で目に見える攻撃の被害が確認されることも、珍しいことではありません

また、復旧時の不正ファイルのタイムスタンプを確認すると、攻撃が復旧とほぼ同じタイミングで行われてることも稀ではありません。その為、全てのサイトのクリーンと被害拡大防止を同時に行わなければなりません。

WEB制作会社や複数のサイト運営を任されている事業者にとって、このように横に広がる被害は、事業運営に関わる問題となります。復旧コストだけでなく、サイト運営を担う事業者としてクライアントとの信頼関係の問題もありますので、慎重な対応が必要となります。

複数サイトの被害・大規模復旧が必要な場合について、お問い合わせ・お申し込みの前に以下をご確認ください。

コストを抑えて大規模被害の復旧をするには？

以下は、コストを抑えつつ複数サイトの復旧を行うために、WebRepairがお客様へよくご説明している内容です。

１．サーバー内の全てのサイトのチェック＆クリーンが必要

改ざんの被害に遭ったサイト以外のドメイン・サイトもリスク下にある為、全てのサイトのチェック＆クリーンと再発防止措置が必要となります。WebRepairでは、同一サーバー内に複数のサイトがある場合は、全てのサイトの復旧をしない限り保証期間を担保することができません。

これを行わないと、不正ファイル群をサーバー内に放置したまま運用を続けることになります。このような場合、再改ざんの被害に遭うリスクがあるだけでなく、当初目に見える被害のなかった他のサイトへも目に見える改ざんの被害が発生する可能性があります。また、サイト管理者の目にはとまらなくても、改ざんされたサイトがスパムメールの発信元になってしまったり、詐欺サイトへ誘導する等、知らない間に加害者になってしまう可能性もあります。

２．バックドアは必ず除去しなければならない

サイト改ざんの被害に遭うと、攻撃者によってサーバー内にバックドアと呼ばれるファイル（ファイル群）を設置されます。バックドアは、攻撃者が外部からサーバー内に自由にファイルの編集や追加をできる仕組みを持っている他、サーバーに直接の動作指令を出すものもあります。また、被害対象の1サイトだけでなく、同一サーバー内の全てのサイトへの影響を与えることが可能です。

バックドアが存在することにより、サイト改ざんの被害はサーバー内で横に広がります。これを削除または無効化しない限りは、サーバー内のサイト全てが改ざん・再改ざんのリスクにさらされた状態のままになります。

また、バックドアは複数設置される可能性があり、全てを取り除かなければなりません。特に、バックドアの設置場所はディレクトリ階層の奥の方など、簡単には見つけられない箇所にある場合が多くなっています。

３．まず不要なディレクトリ削除を

コストを抑えて復旧をするには、まずサーバー内の不要なディレクトリの削除が必要です。

例えば、サイトを制作した際の開発環境が同じサーバー内に残っていることはよくあります。また、長い間使っていなかった開発環境＝長い間アップデートをしていないWordPressサイトが被害にあうことは珍しくありません。長い間ページの投稿や更新をしていないサイトのデータが同じサーバー内にある場合も同様です。

現在公開していない、またはインデックスさせていないディレクトリ・ファイル群は復旧前に削除することで、復旧費用を抑えることが可能です。

WebRepairでは、自動作業と人間によるファイル目視作業を並行的に行い、チェックと復旧がセットになっています。ですので、「サイトがクリーンかどうか確認してから削除したい」というご要望は無料では承ることができません。ただし、サーバーにログインした時点で、一目で被害が複数サイトに拡大している場合は、お客様にその旨をお伝えしています。

４．コスト削減の為の段階的な復旧

対象サーバー内にサイトが複数あるが、特定のサイトのみを先に復旧したいという場合、対象のサイトを被害に遭っていない別のサーバーへ移転することができます。移転にあたり、サイトのドメイン等が変更になることはありません。

例えば、全てのサイトの復旧を一度に行う予算がない場合などは、この方法をとることをお勧めしています。
この方法をとることで、目に見える被害に遭っているサイトのみを迅速に復旧し、その他のサイトについては様子を見ながら対応することで段階的な復旧が可能となります。

この場合、移転先のサーバーはお客様側でご準備いただく必要があります。

一方、段階的な復旧にはデメリットもあります。
そもそもサイト改ざんのようなインシデントの対応は、緊急性の高いものです。「目に見える被害を確認できないから」と汚染されたサーバー内にあるサイトを公開したまま放置するということは、不正アクセスを容認している状態になります。

• そのサイトからいつの間にかスパムメールが発信され、ご自身の管理するサーバーがネット犯罪の温床になってしまう。
• 攻撃によって、サーバーに負荷がかかる。
• サーバー負荷によって、レンタルサーバー側が不正ファイル読み込み停止・サイトの公開停止を行う場合がある。
• 多量のスパムメールにより、当該のドメインがセキュリティサイトやセキュリティソフトのブラックリストに登録されてしまう。→当該ドメインからのメールは迷惑メールとされてしまう。

これらのデメリットを鑑みると、セキュリティ事業を行う会社としては、即時の復旧をしないことについては、本来であればこうした措置は決してお勧めできるものではありません。改ざんがおこったサーバーを放置する・不正侵入されていると分かっていて様子を見ること自体が、そのサイトを管理する事業者として望ましいことではないからです。

段階的な復旧を行う場合は、そのサーバー内のサイトの公開を停止することをお勧めします。
また、サイト内・サーバー内でエンドユーザーの個人情報を得ている場合は、情報漏洩のリスクがありますので即時の対応をすることを強くお勧めします。

５．制作会社への復旧依頼ができるのか？

サイトを制作した制作会社に復旧依頼を検討されるお客様が多いのですが、これはあまりお勧めできません。
通常、制作会社はサイトセキュリティや復旧に関する知見を持ち合わせていないことが多い為、完全な復旧を実現できない可能性が高いからです。一般的に、WEB制作会社やデザイナーは、サイトの外観の作成・プラグインの導入・サイト運用に関することには精通していますが、サイト改ざんに関わるセキュリティ関連のノウハウは持っておらず、復旧時に必要なサーバー内の操作に関しての知識が少ない制作会社も多く存在します。昨今では、ノーコードによるサイト制作も可能になってきている為、WordPressサイト制作に必要なPHPを書くことができない制作者も増えています。制作会社やデザイナーによってサイトの復旧が簡単にできるようであれば、そもそもこのWebRepairのサービス自体が、10年以上継続して成り立つことはなかったでしょう。

建築に例えると、制作やデザイナーの方は「家を建てるプロ」ですが、「防犯のプロ」「白アリ・ネズミ駆除のプロ」であるとは限らないのです。

既に運用中のサイトが改ざんされた場合、その時点で不要なファイル群の削除、当該サイトのWordPressコアの個数確認やプラグインの情報確認等は制作会社やサイト運営の委託事業社へ依頼することができるかもしれません。これを事前に行った上でWebRepairにご依頼いただければ、復旧コストの削減が可能です。しかし、あくまでも再発防止を含めた復旧作業そのものは、WebRepairにご依頼いただくことをお勧めします。

関連記事　Webサイトの改ざん（ハッキング）被害、制作会社の責任になる？