WordPressに感染したマルウェアの駆除作業

こんにちは！ さくらパソコンサービスです！ 東京都中央区のお客様よりWordPressで制作しているWEBサイトがマルウェアに感染してしまったので駆除して欲しいとご依頼を頂きました。

マルウェアに感染したWordPressの症状

状況を確認する為、お客様のサイトにアクセスしてみると外部サイトへ自動で転送されました。 転送先では「要アップグレード」と大きく表示され、「iPhoneを最新バージョンにアップグレードしてください。」とアップグレードを促されます。もちろんこれはニセモノの画面で、このままアップグレードを進めるとなんらかの被害が出ると思われます。 再度お客様のサイトへアクセスすると今度は転送されることなく正常に開きました。どうやら時限性のマルウェアのようです。時限性にすることでWordPressへのマルウェア感染の発覚を遅らせ、より大きな被害を出すことができますので多くのマルウェアで採用されています。 ブラウザの閲覧履歴をリセットして再度お客様のサイトへアクセスすると今度は「Pairs（ペアーズ）-婚活・恋活マッチングアプリ」のダウンロード画面が開きました。 ドメインによると海外のアプリ専門の広告代理店AppsFlyerが作成しているアプリ紹介ページのようです。広告へのアクセス数の統計を取る企業AppsFlyerのページのようです。（8/22 18:40修正） Pairsの制作会社は自社のアプリがマルウェアによって誘導されているとご存じなのでしょうか。少なくとも広告宣伝費の一部がマルウェア犯罪者の手元に渡り、その結果被害者が発生しています。そもそもマルウェアに誘導されるアプリってユーザー側からしたらどうなんでしょうか。早急に対策を取って頂きたいものです。 念の為、Pairsの制作会社の株式会社エウレカには本記事のURLと共にこのようなことがあった旨連絡しておりますので回答などがありましたら本記事に追記いたします。 その後、解析が全て完了し920個全てのマルウェアを削除しました。 この度のご利用ありがとうございました。

8/22 18:40追記

株式会社エウレカ様へ連絡したところ30分程で担当者様より弊社に連絡がありました。 担当者様とのやり取りの中で分かったことは、株式会社エウレカ様の外注先の広告代理店が自社の成績を上げるために、アクセス統計を取っているAppsFlyerへのアクセスを不正に水増ししている可能性が出てきました。 現在、広告代理店毎に発行しているコードの履歴から不正をおこなっている代理店を突き止められないか調査しています。

8/23 11:00追記

URLのパラメータなどから広告代理店、及び広告プラットフォーム提供会社が特定できました。 他広告など複数のURLを解析したところ、広告代理店のパラメータは含まれておりません。広告プラットフォーム提供会社のパラメータは他広告のURLにも含まれておりますので、広告代理店が不正を指示している可能性は低くなりました。 現在、株式会社エウレカ様と共に広告代理店への問い合わせをおこなっています。

8/24 12:00追記

広告主である株式会社エウレカ様、広告代理店、広告媒体、弊社の4社で情報交換できる環境が整いました。 現段階では広告媒体のアフィリエイトプログラムを使用したアフィリエイターが、アクセス数を不正に水増ししているのではないかと思われます。 不正な水増しがおこなわれた広告媒体は複数存在し、各関係企業と共に情報交換の場を整いつつあります。

サイトをマルウェアから守る4つのポイント

1.アカウントの管理を厳重にする

サーバー、FTP、MySQL、WordPressアカウントを使用するパソコンがウィルスに感染すると、アカウント情報が漏洩する場合があります。サイトを編集するパソコンのセキュリティは十分注意をしましょう。

2.パスワードを強固にする

パスワードはランダムな英数字と記号を組み合わせ、可能な限り文字数を多くしてください。短いものや単語が含まれるパスワードは簡単に解読されてしまいます。

3.プラグインの使用を控える

WordPressのプラグインはどこの誰が作ったか不明なものが多く、インストールすることによってサイトに脆弱性が発生する場合があります。

4.WordPress・プラグインの更新を怠らない

WordPress、プラグインには脆弱性が含まれていることがあり、更新によって改善されることがあります。その為、通知がきた場合には早急に更新をおこないましょう。