Google調査で再感染率40%、なぜハッキング被害は再発するのか

Googleにはセーフブラウジングという機能があり、改ざんされているWebサイトやマルウェアが存在するWebサイトを見つけると検索結果に警告を出したり、サーチコンソールに登録していればそのWebサイトの管理者に警告のメー […]

Googleにはセーフブラウジングという機能があり、改ざんされているWebサイトやマルウェアが存在するWebサイトを見つけると検索結果に警告を出したり、サーチコンソールに登録していればそのWebサイトの管理者に警告のメールを発報するなどしています。

Googleのセーフブラウジングのページに行くとご自身のサイトがクリーンかどうか確認できますが、同時に興味深い情報も提供されています。

ハッキングの再被害発生率は上昇中、4割に

サイトが不正使用されているという通知をウェブマスターが受けてから、サイトをクリーンアップするまでの時間を Google で測定しています。サイトのクリーンアップ後も、感染の原因となる脆弱性が残っていると、サイトが再感染するおそれがあります。 -Google-

この再感染率をGoogleが調査し公開しています。

直近の1年間についてみてみましょう。

実際のデータはこちらからご覧ください。

再感染率はこの1年間上昇を続けており、足元では39%とほぼ4割が再被害に遭っていることが分かります。

なぜ4割もの再被害率が生まれるのでしょうか?

昨今の当サービスのお客様の傾向や事例の傾向、またネットの傾向を踏まえて、当社なりに考えてみました。

ハッキング被害の内容の変化

便宜上、マルウェアの埋め込みやフィッシングサイトへの不正利用など様々な被害がありますがこれらをまとめてハッキング被害と称することにします。

当社がWebRepairを始めた当時は、フリーのテーマを使ったらその中にマルウェアが埋め込まれていた、フリーのプラグインを公式以外で入れたらバックドアが入っていたなど、「もともと埋め込まれていたものをインストールしてしまった」という被害が多くありました。

また、その目的もサイトの転送や発リンクなど、SEOや薬物通販などの経済的な利益を得るために他のサイトにメリットを与えるものであったり、政情不安にある国々やイスラム国などの政治的メッセージの表示などが多くあったものです。

よって、被害が比較的一時的な目的を果たすものであったり、ビジネス上の利益を目的としたものでしたから、最終的な利益を得る者を特定することは比較的容易でした。

しかしながら昨今ではフィッシング詐欺が主流で、最終的な利益を得るものは姿を隠しています。

サーバー内に侵入し、不正なファイルコンテンツを設置し、偽の通販サイトやページを構築します。

だまし取られた金銭がどこに流れるかも巧妙に隠されており、解読してもフリーのメールアドレスやうまくいってもせいぜい仮想通貨のウォレットが分かるだけで、最終的な利益を享受する者が分かりません。

身元を隠してフィッシング詐欺を行う上で、他のサイト、他のサーバーはいわばテナントのようなもの。

継続的に利用できることは大きなメリットになります。

こうした変化は、一度侵入できたサイトやサーバーを何度でも利用したいと考える大きな理由の一つでしょう。

まず自分で復旧する

最近の大きな変化は「まず自分で復旧する」です。

当社へのご依頼の中でこの2-3年の大きな変化は、「再被害に遭ったから依頼する」というお客様がほとんどになったこと。

それまではそうしたケースは逆に少なく、ほとんどがまず真っ先にお問い合わせを頂いたものでした。

このため、ログの調査からそもそもの侵入の経緯を調べることもできましたが、現在では時間が経過していてそもそもの最初の被害時のログがないことがほとんどです。

もちろん、そもそもの原因が分からなくても復旧したものをきちんとアップデートしてそれが安全であれば問題は起こりません。

しかし、改ざんの原因となる脆弱性はその時点では公開されていない場合もあり、またプラグインなどはすでに更新も行われていないケースもあります。

よって、時間がたてばたつほど真因をつかめなくなる危険があります。

ネットで見かけるハッキングからの復旧方法

WordPressのハッキング被害は使用されている分母が多い分件数が多く、ゆえに昨今では復旧した事例を取り上げるネットの記事も増えてきました。

参考になるものは多くありますが、事業者が手掛ける専門的なサービスとして考えるとその水準に達しているものはありません。

なぜなら皆さんは不正なコードを探すからですね。

例えばサイトがリダイレクトされてしまうといった事案の場合、たいていの方はそのリダイレクトしているところから調査を始めて、追いかけていきます。

しかし、改ざん被害というのは1つの事象だけで完結しているものはあまりありません。

また時間の経過とともに複数の改ざん者が関与していることが多く、目に見える事象を追うとむしろ誤った判断をしてしまうケースがあります。

さらに不正なコード自体は分かりやすいものも多いですが、実際には「不正ではないファイルの投入」や「不正ではないファイルの利用」といった入り口が用意されていたりします。

簡単にばれてしまうようなファイルを完全にきれいにしても、またハッキングされてしまうというのはそうした理由があります。

また画像内にスクリプトが埋めこまれているケースもあります。

結果として、プログラミングのサンプルコードなどと同様「動くけれどもセキュアではない」といったものが多くあるわけです。

プロならではの確度でハッキング被害を復旧します

WebRepairでは経験豊富なプロならではの確度で、再改ざんを防ぎます。

このため私たちは「同じ手法で再度やられることはない」という状態を作り、再改ざん自体は通常数日の間に起こるため余裕を見て3か月間の保証を付けています。

この間に万が一再被害があれば、私たちは無償で何度でも復旧のご対応をいたします。

なお、WebRepairが手掛けた案件の再被害発生はこの1年間、0です。