4.4 侵入・改ざんのチェックと修復方法
自分のホームページが改ざんされていないかをチェックすることが大切です。知らないうちに、「接続しただけでウイルスに感染させる危険なホームページに改ざん」されている場合もあります。
改ざんされていないかを簡単にチェックする方法として、以下の2つがあります。
1)Google検索で改ざんの有無を確認
2)Firefoxでアクセスして改ざんの有無を確認
(1)改ざんされていないかのチェック方法(簡易版)
より厳密にチェックする方法として、以下の2つがあります。
1)ファイルやディレクトリ(フォルダ)の確認
2)個々のHTMLファイルの確認
(2)改ざんされていないかのチェック方法(詳細版)
復旧しただけではGoogleでの検索やFirefoxによる接続では「危険なホームページ」と見なされたまま変わりませんので、復旧後の処理も行いましょう。
(3)復旧後の処理
自分のホームページの改ざんに対して誤解をしている方が多く見受けられます。例えば、接続しただけでウイルスに感染させる危険なホームページに改ざんされているにもかかわらず、そのウイルスが自分のパソコンに存在しないので改ざんされたことに気付かず、「関係ない、改ざんされているわけがない」と思いこんでしまうのです。
しかし、最近の改ざんの多くは、パソコンとは直接関係しない形で行われる場合があるのです。具体的には、作成したホームページのコンテンツ(HTMLファイルや画像ファイルなど)をサーバにアップロードする際に用いられるIDとパスワードが何らかの原因で盗まれ、そのIDとパスワードを使って第三者が勝手にサーバに侵入し、ホームページのコンテンツを書き変えるのです。
アップロード用のIDとパスワードが盗まれる原因としては、自分のパソコンがウイルスに感染したためという場合もありますが、他にも
- ●自分以外で同じIDとパスワードを使ってホームページの管理をしている人がIDとパスワードを第三者にもらした
- ●自分以外で同じIDとパスワードを使ってホームページの管理をしている人のパソコンがウイルスに感染した
- ●悪意のあるホームページで誤ってIDとパスワードを入力してしまった
などの原因も考えられます。
(1)改ざんされていないかのチェック方法(簡易版)
自分のホームページが改ざんされていないかどうかを簡単に確認する方法として、100%確実ではありませんが、以下の2つの方法があります。
- 1)Google検索で改ざんの有無を確認
- 自分のホームページのURLをGoogleで検索します。もし改ざんされて「危険なホームページ」にされている場合は以下の図のように「このサイトはコンピュータに損害を与える可能性があります。」と表示されます。
- 2)Firefoxでアクセスして改ざんの有無を確認
- 自分のホームページにFirefoxで接続してみます。もし改ざんされて「危険なホームページ」にされている場合は以下の図のように「攻撃サイトとして報告されています!」と表示され、接続が遮断されます。
上記の方法で改ざんされていることが示されたら、本当に改ざんが行われているかを「(2)改ざんされていないかのチェック方法(詳細版)」の方法で確認します。なお、上記の方法はあくまで簡易的な確認方法にすぎないので、厳密には(2)の方法による確認をこまめに実行することが推奨されます。
(2)改ざんされていないかのチェック方法(詳細版)
自分のホームページが改ざんされていないかどうか厳密に確認する方法として、以下の2つの方法があります。
- 1)ファイルやディレクトリ(フォルダ)の確認
- ホームページのコンテンツが置かれているディレクトリ(フォルダ)以下の全てのファイルとディレクトリを更新日付の順番で並べ替えるなどして、自分が更新していない日時に更新されていないか確認します。 また自分が作った覚えのないディレクトリが作られていないか確認します。特にimageという名前のディレクトリが作られ、その中に悪意のあるプログラムが置かれているケースがよくあります。
- 2)個々のHTMLファイルの確認
- 自分が作成した内容と異なっていないか確認します。最近の改ざんでは、HTMLファイルにウイルスへのリンクがブラウザでの表示では見えないように埋め込まれていることが多いです。代表的なものとしては以下のようなものがあります。
<body>タグの前または後に<script>または<iframe> タグを埋め込む
</html>タグの前または後に<script>または<iframe>タグを埋め込む
気づきにくい例として注意したいのは、htmlからリンクするjsファイル(JavaScriptファイル)の末尾に[例2]のようにウイルスへのリンクを埋め込む場合もあります。
これらはあくまで代表的な改ざんの例であり、他のパターンもあることにご注意ください。
このようにして改ざんが確認された場合は、速やかにホームページを閉鎖し、閲覧された方が感染しないようにすることが重要です。
その後、
@ホームページを更新しているパソコンのウイルス感染していないか
A感染に使われる周辺アプリケーションの更新
→@及びAの対策は「ウイルスの駆除と感染防止対策」の手順を完全実施
Bホームページを更新するFTPのパスワードの変更
を行ってから、改ざんされた部分の削除を行ってください。
また再発しないようにウイルス対策を行ってください。
(3)復旧後の処理
復旧しただけでは、Googleでの検索やFirefoxによる接続では「危険なホームページ」と見なされたまま変わりません。これはGoogleもFirefoxも「危険なホームページ」であるか否かの判断にはStopBadwareという団体が管理しているデータベースを参照しており、このデータベースは自動的に更新されないからです。
そこで、復旧後の処理として、対処後にこのデータベースを更新します。以下の手順でStopBadwareに解除を依頼します。
stopbadware.orgに接続
「Clearinghouse Search」をクリック
「Website URL」欄に調べるホームページのURLを入力します。難読化された画像の文字を下の欄に入力し「Search Clearinghouse」をクリックします。
検索結果が表示されます。
該当の(解除したい)URLをクリックします。
- ※「Status」欄が
(黄色)、
(赤)の丸印が付いていた場合は、ウイルスに感染させるための不正な記載等があると認識されています。
(白)の場合は、以前は疑わしいとされていたが、現在は回復したホームページを示しています。
「Request an independent review of data providers' findings」をクリックします。
「Your Email Address」と「Reason you are requesting review」を記入して[Submit your Review]ボタンを押します。「Reason you are requesting review」には例として挙げられている以下のものから適切なものを選び、それをそのままコピーして使うとよいでしょう。
I've removed all badware and fixed the vulnerability that allowed it to be placed on my site.
(和訳)
私のホームページにあったウイルスを削除し、ウイルス感染の原因となったセキュリティ上の問題を修正しました。
I've carefully checked my site and my ad providers and don't believe I am hosting or linking to badware.
(和訳)
私のホームページと広告主を注意深く確認しましたが、私のホームページにはウイルスもウイルスへのリンクもありませんでした。
I distribute software on my site, but I don't think it is bad according to StopBadware's guidelines.
(和訳)
私はホームページでソフトウェアを配布していますが、そのソフトウェアはStopBadwareのガイドラインで定義されたウイルスには該当しないと思います。
- ※ 結果は、メールで連絡が入ります。依頼を行ってから1日から10日程度かかる場合があります。不正な記述が残っている場合は、不正なURLおよび記述が記載されたメールが返信されてきます。
- ■受付を完了した場合
- Request for Review(審査請求)をしてから直ぐに返信されます。
- ■Request for Review(審査請求)の結果、回復が確認された場合
- ■Request for Review(審査請求)の結果、不正なウイルスへのリンクがあった場合
