DDDefense DeskWordPress 緊急対応
Warning Mail

改ざん検知・不正ファイル検出への対応

改ざん検知や不正ファイル検出の通知は、攻撃者がサーバー内にファイルを設置した可能性を示します。消してよいもの、消してはいけないもの、再発させないための対処の順序を説明します。

通知に書かれた「不正ファイルの場所」を確認する

サーバー会社の通知には、検出されたファイルの場所(パス)と検出名が記載されていることが多いです。その多くは、攻撃者が外部からサーバーを操作するために設置した「バックドア(裏口)」ファイルです。まずメール全文と記載されたパスを控えてください。

検知されたファイルを消すだけでは再発する

「検知されたファイルを削除すれば解決する」と考えてしまいがちですが、攻撃者は検知されにくい場所(正常なシステムファイルの中など)にも数行の不正コードを仕込んでいることが多いです。表面のファイルだけを消しても、残った裏口から再侵入され、数日以内に同じ改ざんが繰り返されます。

復旧の目的は「検知されたファイルの削除」ではなく「侵入経路の閉鎖」です。

正しい対処の順序

  1. 1

    バックアップ取得

    改ざんファイルを含んだ現状のまま保全します。調査の材料と戻り先になります。

  2. 2

    パスワード全変更

    FTP、データベース、管理画面、サーバーパネルを使い回しでない文字列に変更します。

  3. 3

    クリーン再インストール

    WordPress本体とプラグインを公式配布のデータで上書きし、不正コードを一掃します。

  4. 4

    書き込み権限の制限

    ファイルのパーミッション(書き込み権限)を必要最小限にし、再改ざんを防ぎます。

相談を急ぐべき状態

訪問者が不審なサイトへ転送されている。サーバー会社から対応期限や凍結予告が示されている。自分で削除したが再発した。このいずれかに当てはまる場合、被害は進行中です。

緊急対応では、初期調査・切り分け(50,000円)で侵入経路を特定し、復旧実対応(100,000円〜)まで進めます。まず調査のみのご契約も可能です。復旧に至らなかった場合は実対応費を全額返金します(調査費のみ発生。条件は利用規約に公開しています)。

復旧後の再発防止

同じ構成のまま運用を続けると、別の脆弱性から再侵入されるリスクが残ります。公開側を“表示専用”の構成に切り替えれば、外部から書き換え可能な接点そのものを減らせます。

警告メール対処ガイド一覧に戻る

緊急: 当日中初動を相談