いきなり大量のメールが送られてきた!サイトが標的型攻撃を受けたときの対処方法

■いとしい私のサイトが標的型攻撃を受けた!

サイト経由で、メールが次々と来るようになってしまいました。
なんてこった。。

最初は1通2通だったのですが、1週間ほどで、上のように1日にとんでもない数のメールが来るようになりました。
しかも、送信元のメアドがぜんぶバラバラ。
おそらく盗まれたメアドなのでしょう。

そして、件名が「ロシア語」。。

フィルタリングかけづらい。涙

しかも、このあと英語でも同様のメールがき始めました。
そのうち、XSERVERから、以下のようなメールが来ました。

お客様の上記サーバーアカウントにおいて、
サーバー用メール送信ソフトウェア(Sendmail)を用いた
日本国外のメールアドレスに対する大量のメール送信処理を確認いたしました。

当サポートにてセキュリティ調査を行いましたところ、
お客様がご利用のプログラムにセキュリティ上致命的なバグ(脆弱性)が存在し、
当該脆弱性を第三者に悪用されてしまった可能性が非常に高い状況でございました。

そのため、事後のご案内となり大変恐縮でございますが、
緊急措置として下記制限を実施しております。

▼サポートにて実施した制限内容
——————————————————-
・【xxxxxx.com】ドメインにおいて、国外からのアクセスを制限

 ※上記処理に伴い、国外から【xxxxxx.com】へのアクセスが403エラーとなる状態です。
  国内からは通常通りアクセス可能です。

——————————————————-

※上記制限により当該ドメインのサーバーパネル「アクセス拒否設定」において
 拒否されているIPアドレス一覧に「all」の記述が追加されておりますが
 こちらの記述は削除なさいませんようにお願いいたします。

 

▲実際のメール画面

うーん、国内向けのサイトなので、そこまで影響はないけれど、そもそも脆弱性をつっつかれるのは怖い。。

ということで対処することにしました!

■XSERVERから対処方法のアドバイス!ありがたい…。

国外アクセス制限の解除をご希望である場合には、
お手数ではございますが、ご利用の各プラグイン、テーマファイルについて
下記の点をご確認いただき、原因の特定を行われた後、
ご対応いただき当サポートまで詳細をご報告いただければと存じます

——————————————
1.配布元等で脆弱性が公開されていないかどうか

2.古いバージョンのまま利用していないかどうか

 ※脆弱性が残ったままの古いバージョンのプログラムを使用し続けると、
  不正アクセスの対象として狙われやすくなってしまいます。

3.ファイルの改ざん、不正ファイルの設置がないかどうか
——————————————

そして、原因についても以下のコメント。

いや、ほんと、細かく教えてくれてありがたいわー。

参考になります。勉強になります。

■不正アクセスの根本原因(一般的)と今回の原因

(1)お客様が運用中のプログラムにおいてセキュリティ上問題のある
 致命的なバグ(脆弱性)が存在し、第三者に脆弱性を利用された。

 →該当プログラムが「どんなコマンドでも実行可能」である場合、
  該当プログラムを経由して不正なコマンドの実行や、
  不正なファイルの設置が行えてしまいます。

(2)お客様のサーバーアカウントに関するFTP情報が流出し、
 第三者に不正にFTP接続をされた。

 →FTP操作自体によるファイル改ざんはもとより、
  任意のプログラムを設置することでどんなコマンドでも実行できてしまいます。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

消去法的なご案内となりますが、お客様が運用中のプログラムに脆弱性が存在し、
該当脆弱性を悪用されてしまった可能性が高いものと思われます。

また、今回の調査では不審なアクセスは見受けられませんでしたが、
WordpressなどのCMSの管理画面に対する、パスワード総当りなどによる
国外からの攻撃が多発しております。

CMSをご利用の場合、パスワードをより強固な物へ変更するなど、
念のための対策を併せてご検討くださいますようお願い申し上げます。

ということですが、そもそもこんなこと起こってほしくないので、セキュリティ全般をチェックし、対応したので、その方法をまとめました。

やることさえ分かっていれば、対応もしやすいと思うので、参考にどうぞ!

■セキュリティのチェック!

1.プラグインの更新をチェック

プラグインがすべて最新になっているか。
また、更新されないまま長くあるプラグインを確認しました。

とくに、古いものはありませんでした。そして最新でした。

2.配布元等で脆弱性が公開されていないかどうか

プラグインは結構あり、調べるのが大変だったので、あきらめました。
テーマについては問題ないことを確認しました。

3.ファイルの改ざん、不正ファイルの設置がないかどうか

「投稿」「固定ページ」など確認し、ファイルの最終更新日など確認して、実際に自分が更新した最終日時のものであることを確認しました。
問題ありませんでした。

4.HTMLのSSL設定

対応済みでした。

対応方法は以下のページを参考にしてください。
<リンク:XSERVER_独自ドメインにSSLを設定する>

5.Akismetを有効にする

コメント機能を使っている場合はこれが原因のこともあります。
私の場合は有効になっており、問題ありませんでした。

6.ContactForm7を最新の状態にする+送信前確認のチェックボックスを配置する

ContactForm7には送信前にチェックボックスを用意し、ロボットによる自動送信に対処する機能があります。
これを設定しましたが、改善されませんでした。

7.XSERVERのWebメールのフィルタリング設定を有効にする

XSERVERで独自ドメインを設定するとWebメールが有効となります。
このメールのフィルタリングを有効にし、かつ、海外からのメールについて「高い」セキュリティを設定しました。

改善されませんでした。

8.ぎ、ぎぶあっぷ…XSERVERのカスタマーサポートに相談する

さんざんやりましたが対処に失敗し、どうしようもなくなったので、サポートに相談しました。

結果、以下の回答が来ました。

この度の問題に関しまして、アクセスログを
確認いたしました限りではWEBサイトに設置されております
お問い合わせフォームが悪用されている状態かとお見受けいたします。

このため、こちらのお問い合わせフォームへ対策を実施していただかない限り
同様の問題が再発する可能性が高いものかと存じます。

お手数ではございますが、お問い合わせフォームへGoogleのreCAPTCHAを
導入していただくなど、更なるご対策を講じていただきました上で
対策内容を改めてお知らせいただければと存じます。

えーと…

最初から言ってく〇×△□〇…

……もごもご。なんでもありません。

ありがとうございます。

結果、これが今回の対処方法となりました。

9.GoogleのreCAPTCHAを設定する

設定方法は実は、超簡単。10分くらいでできます。
やり方は以下のサイトを参考にしてください。
<リンク:Google reCAPTCHA(リキャプチャ)の設定方法:悪質なbotなどによるフォームを利用した攻撃に対処する機能>

これで、問題は解決しました。

 

なにはともあれ、

XSERVERのカスタマーサポート、本当に助けていただき、ありがとうございました!

 

 

フォームの対策は大事。ハードの対策ももちろん大事。

 

 

最新情報をチェックしよう!