Webサイトが乗っ取られた非営利団体の対応を支援しました

自力でサイトを保守していた、ある非営利団体のサイト担当者さんからご相談をいただき、対応を支援しました。

相談内容

  • ある日、Google Search Consoleの管理者アカウント宛に、(心当たりのない)管理者アカウントが追加されたと通知メールが来た。
    (このアカウントは団体の管理者が追加したものではなく、サイトに侵入され、Google Search Consoleが発行したファイルを設置する形でサイトの所有権を確認されてしまったようだった。)
  • Google Search Consoleのアカウントを消し、各種管理画面のパスワード等を変更したが、数日後、レンタルサーバー会社から「サーバー負荷が大きいためアクセスを制限する」と連絡があり、サイトが使えなくなってしまった。
レンタルサーバー会社からの連絡内容

本日●年●月●日におきまして、お客様ご利用のアカウント(****)上のドメインに対して、大量のwebアクセスがありシステム全体に多大な負荷を与えておりました。

過大な負荷により安定稼働が見込めなくなり、他のお客様のWEBサイトにも影響が及んでおりますので、弊社にてやむを得ず、該当のドメインへのアクセスを制限しております。

制限をしておりますドメインは***です。

お手数をお掛け致しますが、CDNの導入などをご検討いただけますでしょうか。
何卒、宜しくお願い致します。

また、ご利用アカウント***で下記不正ディレクトリが検出されましたので、ご案内いたします。

***

※ 検出された不正ディレクトリは、安全のためパーミッションを「000」に変更しております。

  • サイトのバックアップは取っていない。
  • 何が原因なのかもよくわからず、どうしたらいいのか。繁忙期ということもあり、この対応に時間をかけていられない。
    検索すると、乗っ取りのトラブル対応の会社はたくさん出てくるが、いくらかかるかわからず不安。信頼できる人に助けてほしい。

対応内容

  • GoogleSearchConsoleを確認すると、覚えのないキーワードで、海外から大量にアクセスがあることが判明。
    ※不正に追加されたファイル群にはGoogle Analyticsのタグが入っていないため、Google Analyticsだけでは異常を検知できていないことを確認。
  • いつもやり取りさせていただいているH2O spaceさんにご相談。H2O spaceさんの復旧サービスの利用も検討したものの、Googleに古いファイルの検索結果が残っている限りGoogle経由のサーバー負荷が収まらないため、団体担当者とも相談のうえ、それまで使っていたドメインはあきらめて新ドメインを使うことにした。
  • マーキテクトにて、特急で構築支援を行い新しいサイトを公開。
  • GoogleSearchConsoleに旧サイトの削除を通知。
  • 数日で、新サイトが検索1位表示され、いったん解決。
  • WordPressやプラグインの更新を含めてH2O spaceさんにおつなぎし、保守について契約締結をいただいた。

対応のなかで出てきたQ&A

Q
今回の乗っ取りは知り合いなど、個人的な恨みによるものか?
うちのような小さな団体は、海外から攻撃対象として狙われないと思うが‥
A

GoogleSearchConsoleのログを見る限り、インドネシアを中心に海外からのアクセスが膨大にあったので、「知り合いの個人的な恨み」よりは、海外の悪意のある第三者によるものではないかと思います。
他のサイトを踏み台にするような悪意のある侵入者は、団体の活動内容や規模を考慮しているのではなく、総当たりのような形でアタックを仕掛け、セキュリティが甘いところを突いていると思われます。
Webサイトを公開しているのであれば、どんなサイトでもアタックされる恐れはあります。

Q
GoogleSearchConsoleのアカウントを持っていたせいで、不正に追加されたファイルが検索に引っかかりやすくなってアクセス制限になってしまったのではないか?
A

いいえ、サイトが不正アクセスされたのが原因です。
もし貴団体がGoogleSearchConsoleのアカウントを持っていない場合は、悪意の第三者が所有権の確認を経て、今回問題となったサイトGoogleSearchConsoleのプロパティを新規作成してしまいます。
むしろGoogleSearchConsoleのアカウントを持っていたおかげで、不正な動き(覚えのないアカウントによる所有権確認、サイトマップの送信、海外からのアクセス、覚えのないキーワード)に早めに気付いたと言えると思います。

Q
うちはITに詳しいスタッフがいるから、保守を外注しなくても大丈夫では?
A

スキルのあるスタッフが団体内にいても、トラブルはその人が対応できるタイミングで起こってくれるとは限りません。
そんなタイミングで、普段お付き合いのない会社に、緊急時に対応を依頼するのはお互いに不安なものです。普段から、サーバー等の保守や相談をお願いできる「かかりつけ医」のような人や制作会社とつながりを持っておくことをお勧めします。

Q
トラブルなんてめったにないことなので、毎月の保守代がもったいない…
A

緊急対応を外注することを考えると保守代の方が安いです。

Q
うちのサイトはそんなに見る人いないし、手間もかけたくない…
A

行政や助成元となる団体が見るタイミングでトラブルが起こると、団体の信頼・助成金等を失う可能性があります。
手間もお金もかけたくない場合は、保守が必要なWordPressを使わず、Jimdoなどのホームページ作成ツールを検討されるのがよいかもしれません。