まずは2つの仮説をいただいて、行動へ
前回に引き続き、マルウェア=悪意あるソフトウェアによる
被害からの復旧について、記したいと思います。
というか、素人な私の、素人なあがきですので
「記したい」というより「さらしたい」に
近いかもしれません(苦笑)。
さて、前回のおさらいです。
- 久しぶりのブログ更新をtwitterからつぶやき
- リンク先を表すTwitterカードの異変に気づく
- 転送されたFacebook側では問題なく表示
- 取り急ぎ、注意喚起の書き込みを投稿
- Twitterに問い合わせようとするが門前払い
- まずはTwitterの「ログイン認証」を使用開始
- Twitterカードが差し替えられた投稿群を削除
- 何をどうしたらよいか、ヒントを得るべく相談開始
というわけで、「一人で右往左往していても仕方ないので
兎にも角にも詳しい人のアドバイスを仰がなくては!」
と、二人の方にFacebook メッセンジャーで連絡。
私に把握できていることを伝えて、それぞれの推論を
伺いました。
ここで仮説を伺ったことが大事!
何しろ、原因として考えられる要素はさまざま。
さらに、被害の可能性もさまざま。
ネットで調べても、そのままフィットする情報もないし、
きっと解決策に近いのであろう情報を見ても、
コード書く人たちが使用する用語がちんぷんかんぷん。
自分一人では仮説を立てて、
初期対応を絞り込むことさえ困難!
でしたが、アドバイスをもらったおかげで
“起こすべき次のアクション”が見えてきました。
それが、次の2つ。
【仮説1】
マルウェアではなく、サイトの一部を、少しだけ改ざんされた。
→ Q.サイトをバックアップと比較できないか?
→ A.できない
→ まずはTwitterカードに関連したスクリプトか、
テンプレートをチェック
●アドバイス
このレンタルサーバー業者は、
そもそもセキュリティが手薄過ぎ。
せめて、この業者が提供している
有償のマルウェア対策ソフトを導入すべき。
↓
「こんなサービスあったんですね!知りませんでした」と
歴代、人任せにしきってきた反省をしながら、導入を決意。
【仮説2】
サーバー側にマルウェアを仕込まれた。
→ まずはレンタルサーバー業者にデータバックアップと
サーバーのイニシャライズを頼めないか打診
抜けていた対策・知らなかった対策
さて。
まずは、レンタルサーバー業者から提供されている
管理画面にアクセスして、問い合わせフォームから
伝えられる状況を送信。
時は、金曜の夜。
返信を期待せずに、さまざまな項目を確認していく。
まずは、アドバイスをいただいた
マルウェア対策ソフトを契約。
そして……いろいろ見ているうちに気づいたのが↓これ。
あら!
Googleのアップデート対策でSSL設定が必須?
これは見逃していたなぁ……。
今年はとにかくバタバタしていたし……。
しかし、怪我の功名と思って、この機会に導入。
7月直前ギリギリセーフ?
さらに、去年11月にPCが壊れた後、
FTPソフトすら設定してなかった!
ということに気づいて、あたふたと設定開始。
……というわけで、
今回の問題とは別に、下記3つの対策を実施。
- サイトにSSLを設定
- サーバーにマルウェア対策ソフトを導入
- ついでにFTPのパスワードを変更
WordPressと向き合ってみるが……
さて、素人なりに、WordPressの管理画面と向き合い、
いろんな画面をチェック。
そして、ヒントになりそうな情報を求めてググり続ける。
で、導入済みのアドオン「All in One SEO Pack」が
怪しいのではないかと当たりをつけて、
一旦、「ソーシャルメディア」機能をオフにしてみる。
そしてTwitterにテスト投稿してみるが変化なし。
ならば、ということで「All in One SEO Pack」を
削除して再インストールしてみるが、変化なし。
むぅ。
これ以上は分からない。
すでに金曜深夜というより土曜朝である。
新たに契約したマルウェア対策ソフトの効果を
期待しながら、寝ることにする……。
そして土曜日。「何が起きていたか」の一端を知る
さぁ、土曜日。
よく見たら、サーバー業者のサポート窓口は
年中無休の24時間体制でした。
フォームからの問い合わせには返信ないので、
電話をかけて【仮説2】の対応を頼めるか
確認してみると……
答えはNO!
バックアップも、WordPressの再インストールも
自分で勝手にやってくれと。
まぁ冷静になって考えればそうなんでしょう。
で、せめてマルウェアの情報を知りたいと
思ったのですが、
サーバーの負荷が急激に上がるような不具合が起きない限り、ユーザーの方々には案内していない。
とのこと。
マルウェアについては、それぞれ有償の対策ソフトを
契約して、それでチェックして対応して欲しい、と。
そして判明したのが、
昨日契約したはずの対策ソフトは、
特にお知らせもないまま、「カード未決済」で
契約キャンセルになっていたということ。
驚きです。
この間、同じカードでドメインの自動更新が
完了したばかりじゃん!
…と、半ば憤りつつ、再度契約の画面へ。
そこで分かったのは、管理画面に登録されている
カードの有効期限が古いままだったということ。
しょうもない話。
なので、有効期限を書き変えて無事に契約完了。
そのまま、設定画面へ。
なるほど、確かにこういう導線は昨日は未体験w
ほうほう。
まずは「SMART」という機能でスキャン!
結果は……おお、グリーンじゃん!
マルウェアは発見されませんでしたってか!
ほかにも機能がいっぱいあるけど動いているの
かしら? それともクリックした方がいいのかしら?
と迷ったところで、クリッククリック!
後は、全部のスキャンが終わるまで待つだけ……
と一安心したところで、
再びWordPressと向き合うも収穫はなし。
……と、ここで思い出したのが、
ワールドカップ ロシア大会が始まった6月14日から
サイトへのアクセス数が激減していたという事実!
「あ、あれも、この不具合のせいなのか!」と
思い至った後で、
「じゃぁ、グーグルの検索結果表示は……」と
恐る恐るエゴサーチ!
なんと!!!
全然検索されないようになっちゃってる!
特に自然流入が多い黒澤明『用心棒』の
映画ブログは、以前、検索上位に表示されているのを
確認していたので、試しにググってみるが……
「用心棒」の1wordで検索しても、かすりもしない。
「用心棒, プラップル」で検索したら
記事ではなく、画像ファイルといったものだけが
検索にヒット!
あーーーーーこりゃ、ダメじゃん。
何ですか、これ。
6月18日からクロールエラーが発生してた!
さらに6月4日から、怪しいホストへのアクセスが
ブロックされている!!!
これは何か関係があるのか!?
いや、あるな!
なら、どうしたら解決する!?
ついに、マルウェア発見! しかし……?
Googleで衝撃の事実に直面してから、
サーバーに設置したマルウェア対策ソフトの確認へ!
何だ?
先ほど、緑色だった「SMART」が赤くなって
アラートを発している!!!
おお、「悪意のあるファイル」発見したじゃん!!!
さぁ、これがどんな奴なのか情報を確認してから
削除するぞーーーっと思ったら……
「あれ? これ、どこから削除するの???」
と操作がまったく分からずサポートへ電話。
しかし、窓口の担当者さんも、このソフトへの
問い合わせは、未経験。
マニュアル読んで確認するので「折り返し電話」
ということに。
そして、30分ぐらい後に電話をいただき、
操作方法を確認。
一行レポートの、最初の項目である「日時」を
クリックすると、↓下記のようにウィンドウが開くので
ここに表示された「すべて取り除く」をクリック。
すると、リクエストが飛んで処理が始まるらしい。
本当は、このマルウェアに関する、
もう少し詳しい情報が欲しかったのだけれど、
このソフトから得られる情報は「ゼロ」。
まぁ残念だが、そこまで知りたければ、
もっと高い業者で、もっと高いセキュリティ対策を
契約すべきなのだろう…。
さあ!
マルウェアも見つけた!
駆除もかけた!
これで終わるか???
……と思ったら、まだ終わりませんでした。
長くなりましたので、続きはまた次回。