大量の不審メールが送信されている
スパム送信でサーバーがブラックリスト入りする前に遮断と除去。wp_mail()乱用や不正スクリプトを特定し、送信ドメイン設定を是正する必要があります。
大量の不審メールが送信されている
大量メール送信(スパム)
改ざんによりスパム送信機能が埋め込まれたり、既存のフォームが悪用されたり、あるいはスパム配信用のファイルが不正に設置されるなどして発生します。サーバーIPアドレスやドメインがブラックリスト入りする被害となります。
緊急:まず止血
1) 更新・投稿を停止 2) 現状をバックアップ 3) パスワード・鍵を一時ローテーション
1) 更新・投稿を停止 2) 現状をバックアップ 3) パスワード・鍵を一時ローテーション
よくある状態
- 短時間で送信数が急増
- 知らない宛先への送信
- メールキューが枯れない
- ホスティング会社(レンタルサーバー)から、多数のメールを送信しているとの連絡が来る
よくある原因
- 不正スクリプト挿入
- 不正ファイル挿入
- フォーム改ざん
- 認証情報漏洩
被害の背景
wp_mail() の乱用や独自送信スクリプト、ファイルの混入で、短時間に大量送信されます。送信ドメインがブラックリスト化すると正規メールも届かなくなります。
またliefmailerをはじめとする、配信用ファイルは正規の用途でも利用されるものなので、いわゆる「セキュリティ検査」に引っかからず単純な検査の場合見落としとなることがあります。
実際の事例
プラグイン脆弱性から侵入を許したのち、サーバー内に1ファイルで送信可能なメール送信用ファイルが設置され、1時間に数万通を発送。即停止→隔離→除去。
フォームの自動返信機能を悪用して数千通のスパム配信が行われ、レンタルサーバー会社よりサーバーの停止リスクについて通知が届いたことで当社にご連絡。機械的な送信を遮断し、必要な処置を実施。
改ざん被害復旧を自社で実施したのち、従業員のメールアドレスを用いたフィッシングスパム配信が発生。調査したところメールアカウントの乗っ取りが発覚。パスワード変更など必要な処置を実施したのち、当社にて再検査。
放置した場合のリスク
メール不達・顧客対応停止・サーバ停止勧告など事業継続に影響。
推奨プラン
| ベーシック | +必要に応じ送信ドメイン是正。 |
|---|
当社の対応フロー
- 止血(遮断・アクセス制限・WAF)
- 全数スキャン/完全クリーニング(ファイル・DB・画像)
- バックドア/永続化の除去(cron/ユーザー/設定)
- 侵入経路の是正(必要時)
- 納品:再発防止策適用
納品物と保証
- 保証:ライト/Plus=2週間、ベーシック=3か月
再発防止
- 不要プラグイン削除・自動更新ポリシー
- 管理者最小化・SALTキー更新
- パスワード変更
- ファイルアクセス権設定、セキュリティヘッダー追加
- バックアップ/監視/WAFの常設
FAQ
- Q. なぜ大量送信が起きる?
A. 送信スクリプトの挿入やフォーム改ざん、認証情報の漏洩が原因です。 - Q. ブラックリスト解除は可能?
A. 完全除去後、各事業者の手順で解除申請します。