攻撃が発覚してから
72時間以内にやるべきこと
サイトが攻撃されたことに気づいた瞬間、頭が真っ白になるのは当然です。 しかし、最初の72時間の動き方で被害の大きさが決まります。 この記事では、やるべきことを時系列で整理しました。
被害の拡大を止める
サイトをメンテナンスモードにする
なぜ:訪問者への二次被害を防ぐ。マルウェアが訪問者に感染する可能性がある。
方法:.htaccessでアクセスを制限するか、サーバー側でサイトを停止する。
証拠を保全する
なぜ:後の調査や法的対応のために、改ざんされた状態のバックアップが必要。
方法:ファイル一式とデータベースのダンプを取得し、日時付きで別の場所に保存する。
全管理者パスワードを変更する
なぜ:攻撃者がパスワードを入手している可能性がある。
方法:WordPress管理画面、FTP/SSH、データベース、サーバーパネルの全てのパスワードを変更する。
被害範囲を特定する
侵入経路を特定する
アクセスログを確認し、不審なリクエストパターンを探す。脆弱なプラグインのバージョン、ブルートフォース攻撃の痕跡、不正なファイルアップロードの記録などを調べる。
改ざんされたファイルを特定する
ファイルの更新日時を確認し、正規のWordPressファイルとの差分を比較する。wp-content/uploads/内の.phpファイル、wp-includes/内の不審なファイルを重点的にチェックする。
個人情報の漏洩有無を確認する
データベースへの不正アクセスがあったか確認する。会員情報、注文情報、問い合わせフォームのデータなど、個人情報を含むテーブルへのアクセスログを調べる。
報告と復旧
個人情報保護委員会への速報(該当する場合)法的義務
2022年4月施行の改正個人情報保護法により、個人情報の漏洩が発生した場合、速やかに個人情報保護委員会へ報告する義務があります。速報は発覚から概ね3〜5日以内が目安です。
影響を受けるユーザーへの通知法的義務
個人情報が漏洩した可能性がある場合、該当するユーザーに通知する義務があります。何が漏洩した可能性があるか、どのような対策を取ったか、ユーザーが取るべき行動を明確に伝えます。
マルウェアの駆除と復旧
証拠保全が完了したら、マルウェアの駆除と復旧作業に入ります。クリーンなバックアップからの復元、またはファイル単位での駆除を行います。
再発防止策の実施
侵入経路を塞ぐ。脆弱なプラグインの更新・削除、パスワードポリシーの強化、WAFの導入、ファイル変更監視の設定などを行います。
インシデント発生時にやってはいけないこと
NG:証拠を保全せずにサイトを復元する
侵入経路が特定できなくなり、同じ攻撃を再び受ける。法的対応にも支障が出る。
NG:「大したことない」と判断して放置する
攻撃者は一度侵入に成功すると、バックドアを設置して再侵入の準備をしている。放置すると被害が拡大する。
NG:SNSで詳細を公開する
攻撃手法や脆弱性の詳細を公開すると、模倣犯を招く。関係者への報告は非公開で行う。
マルウェアの不安を 今すぐ解消しませんか?
リバースハックはWordPress専門のセキュリティチームです。 マルウェア駆除から再発防止まで、ワンストップでサポートします。 まずはお気軽にご相談ください。
※ 相談は無料です。お見積もりだけでもお気軽にどうぞ。
この記事をシェア