昨年からWORDPRESSで構築したマルウェア感染サイトのスクリーニング作業をやり始めたのだが約8割は簡単に除去できるが、残り２割は簡単にマルウェアを削除できなくて継続してチェックしながら、差し込まれたタイミングを検知して削除する作業を行なっています。その中でようやく最近この残り２割のマルウェアを消滅させることができた。

何故、進まないマルウェア感染チェック

WORDPREESSのマルウェア感染はまず、感染しているということを気付けていないケースがかなり多く存在する。どのような目的を持っているのか、それともクラッキング練習台としてやっているのか詳しくはわからないが、見た目実害が無いケースが多いからサイトオーナはやらなくても良いと思ってしまう。これがまず最初の難関。次に感染した事をグーグルブラウザが教えてくれたり、顧客が異変に気づき教えてくれて始めて知るパターンだろう。意外とサイト管理者は忙しすぎて自分のサイトを見ていないものだ。

感染して気づくマルウェアチェックの重要性、そして一度感染したサイトは簡単にマルウェアを完全に除去できていない。

実は一度マルウェア感染したWORDPRESSサイトは、何度もその後も感染してしまう確率が高いのである。理由はプラグインなどの感染チェックや総合セキュリティソフトでは、全てをチェックしきれなくて感染ファイルは残っているのだ。残っている感染ファイルが改竄やファイル挿入の種になっているなら何度でも感染する事だろう。

WORDPRESSセキュリティアップデート、最新版へバージョンアップしてもマルウェア感染が減少しない理由

WEBサイトとは、サーバの設置とコンテンツの設置、それぞれのコンフィギュレーション調整、運用で構成されている。WORDPRESSは最大限の努力と改善を行なっていると思います。しかし前述の通りWORDPRESSは所詮コンテンツシステムの部分だけであるため、他の部分で不適切な設定やインストールになっていたら結局のところ感染してしまいます。

マルウェア感染する理由

数年前に大規模なガンブラー系の感染による被害が出たことがあります。この時期にプロバイダー、ホスティング業者はかなり改善を行なってFTPやIPアドレス縛りの機能を導入しました。そのおかげで大分ガンブラーによる被害は減少したと思います。しかし全部なくなったわけではなくガンブラー亜種がパソコンにスパイウェアとして感染したり、ブラウザに感染してサイトを侵略するように手が込んだ仕組みが出てきています。そのほかシステムの脆弱性ソースバグを突いて仕掛けてくる攻撃は常にいつまでもあり続けるでしょう、また、５、６年前まで蔓延っていたupload系の不正コード差し込みは現在でも有効です。つまり適切なサーバ設定とWORDPRESS設置が行われて無ければ未だに有効な手法なのです。 サイトは必ずしも1つの業者ではなく、複数の業者、WEB担当者が入れ替わったりするため、伝達不足から生まれる処置不足から、セキュリティーホールの要因の半分が人の問題だったりします。経営者や担当の上司はそのことに気付くべきです。

WORDPRESSはCMS界の中ではユーザ数が最も多いオープンソースパッケージですが、オープンソースであるがゆえに、悪い人たち(クラッカー)に研究されてマルウェアを混入されてしまう危険性も高いのが難点。サイトを構築する段階から注意を払って作成すれば問題はないのですが、感染した後だと困難が待ち受けているのも事実です。

WORDPRESSの感染をチェックする方法

• 使用しているテーマのテーマフォルダ内にあるphpやjavascriptファイルでタイムスタンプが怪しいものを見つける。

• ファイルサイズが変わっている？あるいは増えていると思うものを開いてコードをチェックする。感染コードは見ればすぐに分かります。
• セキュリティプラグインを導入してマルウェアの検出。５０％から７０％位は検出可能です。ドキュメントルート、WORDPRESSシステム配下のチェックは概ねプラグインソフトは弱いです。
• uploadsフォルダー配下にphpファイルが存在しないかチェックする。
• テーマ感染は既存ファイルに感染しているのがほとんど。新規ファイルのケースは少ない。
• ドキュメントルート直下、システムフォルダ（wp-admin,wp-includes）は既存ファイルよりも新規ファイルで感染ファイルを置くケースが多い。

• ドキュメントルート直下、システムフォルダで既存ファイルが感染している場合はワンランク上の感染と思ったほうが良い。つまりプラグイン程度で見つけたり駆除できない

• pluginsフォルダー内の感染は元々プラグイン自体に仕込まれている事が多い。

セキュリティプラグインで合格だったから大丈夫と思わないほうが良いです。私は高度な感染を検知できるプラグインは未だに見たことありません。

ハイレベルなマルウェア感染

高次元の感染はタイムスタンプを過去の日付時間にする場合があり、感染がドキュメントルート全体に及ぶこともあります。つまりドキュメントルート直下、wp-admin,wp-includesあたりを改ざんする手口をやっているクラッカーはそこそこ詳しい人がやっているケースが多く簡単には見つからない手法で感染させているケースがあります。

手口と対処

• 感染中継ファイルの拡張子を任意のイメージファイル拡張子に変えて設置
• 改竄したファイルのタイムスタンプを書き換えている。周りのファイルのタイムスタンプとかけ離れているものは怪しい。
• 感染中継ファイルで圧倒的に多いのは/wp-content/uploadsの配下に設置されている。
• ドキュメントルート、wp-admin,wp-includes配下の感染は例えばサイトからWindowsにファイルをコピーして持ってきた上でWindows Defenderでスキャンしても見つけられる場合が結構ある。
• ドキュメントルート、wp-admin,wp-includes配下の感染は有料ウィルススキャンソフトでWindowsにファイルをコピーして持ってきた上でスキャン実施すると高い検知率で発見、駆除ができる。
• ドキュメントルート、wp-admin,wp-includes配下の感染はphp専用のマルウェアスキャナーで更にスキャンするとほぼ完璧に近いレベルで発見、駆除ができる。

予防策、防御策

• ディレクトリレベルでmd5でハッシュ値を取り、コンテンツ更新する度にハッシュ値の更新を取る。
• 毎日、定時間にバッチを走らせ前回のハッシュ値と現在のハッシュ値に相違があるか調べる。相違があった場合は感染の疑いあり。
• 総合セキュリティプラグインの導入。最初から導入すると効果が抜群です。
• 編集者はできるだけ固定IPで管理画面へのアクセスを縛ること。