Webサイトが乗っ取られた非営利団体の対応を支援しました

  • 投稿日
  • 更新日
  • 著者 MARCHITECT
  • カテゴリー ウェブサイト

自力でWordPressのサイトを保守していた、ある非営利団体のIT担当者さんからご相談をいただき、トラブル対応の支援をしました。

相談内容

  • ある日、Google Search Consoleの管理者アカウント宛に、(心当たりのない)管理者アカウント(X)が追加されたと通知メールが来た。
    (このアカウント(X)は団体の管理者が追加したものではなく、Xがサーバーに不正に侵入し、Google Search Consoleが発行したファイルを設置する形でXのサイトの所有権が確認されてしまったようだった。)
  • 団体側はGoogle Search Consoleのアカウント(X)を消し、各種管理画面のパスワード等を変更。しかし大量のページが生成されてしまっており、Google検索経由のアクセスが大量に流入。ページを削除するも、Google検索結果にはリンクが残っているため、流入が止まず、数日後、レンタルサーバー会社から「サーバー負荷が大きいためアクセスを制限する」と連絡があり、団体サイトが使えなくなってしまった。
レンタルサーバー会社からの連絡内容

本日●年●月●日におきまして、お客様ご利用のアカウント(****)上のドメインに対して、大量のwebアクセスがありシステム全体に多大な負荷を与えておりました。

過大な負荷により安定稼働が見込めなくなり、他のお客様のWEBサイトにも影響が及んでおりますので、弊社にてやむを得ず、該当のドメインへのアクセスを制限しております。

制限をしておりますドメインは***です。

お手数をお掛け致しますが、CDNの導入などをご検討いただけますでしょうか。
何卒、宜しくお願い致します。

また、ご利用アカウント***で下記不正ディレクトリが検出されましたので、ご案内いたします。

***

※ 検出された不正ディレクトリは、安全のためパーミッションを「000」に変更しております。

  • 団体サイトのバックアップは取っていない。
  • どうしたらいいのかわからない。繁忙期ということもあり、この対応に時間をかけていられない。
    検索すると、乗っ取りのトラブル対応の会社はたくさん出てくるが、いくらかかるかわからず不安。信頼できる人に助けてほしい。

対応内容

  • GoogleSearchConsoleを確認すると、覚えのないキーワードで、海外から大量にアクセスがあることが判明。
    ※不正に追加されたファイル群にはGoogle Analyticsのタグが入っていないため、Google Analyticsだけでは異常を検知できていないことを確認。
  • いつもやり取りさせていただいているH2O spaceさんにご相談。H2O spaceさんの復旧サービスの利用も検討したものの、Googleに古いファイルの検索結果が残っている限りGoogle経由のサーバー負荷が収まらないため、団体担当者とも相談のうえ、それまで使っていたドメインはあきらめて新ドメインを使うことにした。
  • マーキテクトにて、特急で構築支援を行い新しいサイトを公開。
  • GoogleSearchConsoleに旧サイトの削除を通知。
  • 数日で、新サイトが検索1位表示され、いったん解決。
  • WordPressやプラグインの更新を含めてH2O spaceさんにおつなぎし、保守について契約締結をいただいた。

対応のなかで出てきたQ&A

Q
今回の乗っ取りは知り合いなど、個人的な恨みによるものか?
うちのような地方の小さな団体は、海外から攻撃対象として狙われないと思うが‥
A

GoogleSearchConsoleのログを見る限り、インドネシアを中心に海外からのアクセスが膨大にあったので、「知り合いの個人的な恨み」よりは、海外の悪徳業者によるものではないかと思います。
他のサイトを踏み台にするような悪意のある侵入者は、団体の活動内容や規模を考慮しているのではなく、総当たりのような形でアタックを仕掛け、セキュリティが甘いサイトを突いていると思われます。
Webサイトを公開しているのであれば、どんなサイトでもアタックされてしまう恐れがあります。

Q
GoogleSearchConsoleのアカウントを持っていたせいで、不正に追加されたファイルが検索に引っかかりやすくなってアクセス制限になってしまったのではないか?
A

いいえ、サイトが不正アクセスされたのが原因だと思います。
もし貴団体がGoogleSearchConsoleのアカウントを持っていなかった場合は、悪意の第三者がサイトを乗っ取った後、所有権の確認を経て、今回問題となったサイトGoogleSearchConsoleのプロパティを新規作成してしまっていたでしょう。

むしろGoogleSearchConsoleのアカウントを持っていたおかげで、不正な動き(覚えのないアカウントによる所有権確認、サイトマップの送信、海外からのアクセス、覚えのないキーワード)に早めに気付いたと言えると思います。

Q
うちはITに詳しいスタッフがいるから、保守を外注しなくても大丈夫では?
A

スキルのあるスタッフが団体内にいても、トラブルはその人が対応できるタイミングで起こってくれるとは限りません。
そんなタイミングで、普段お付き合いのない会社に、緊急時に対応を依頼するのはお互いに不安なものです。普段から、サーバー等の保守や相談をお願いできる「かかりつけ医」のような人や制作会社とつながりを持っておくことをお勧めします。

Q
トラブルなんてめったにないことなので、毎月の保守代がもったいない…
A

有事の際の緊急対応を外注することを考えると保守代の方が安くつくことが多いです。
ちなみに以下の条件に当てはまれば、サーバー費用+保守費用を月額3,300円で請け負ってくれるベンダーさんをご紹介できます。

  • 非営利団体であること(法人格は問いませんが、団体として契約書が締結できること)
  • m-architectにリニューアル設計・ディレクション・WordPressテーマ選定をお任せいただけること(リニューアル費用は別途かかります) →リニューアル料金の目安
  • ベンダーさんの指定のサーバーを使用すること
Q
うちのサイトはそんなに見る人いないし、手間もかけたくない…
A

トラブルはタイミングを選んでくれません。行政や助成元となる団体が見るタイミングで乗っ取りなどが起こってしまうと、団体の信頼・助成金等を失う可能性があります。
手間もお金もかけたくない場合は、保守が必要なWordPressは使わず、Jimdoなどのホームページ作成ツールを検討されるのがよいかもしれません。