【重要】複数のサイトが不正アクセスの被害に遭いました:リダイレクトハッキングと個人情報のご報告

【重要】複数のサイトが不正アクセスの被害に遭いました:リダイレクト問題と個人情報のご報告

記事本文

平素より、私のブログやサービスをご利用いただき、誠にありがとうございます。

この度、私が運営する複数のサイトがサイバー攻撃を受け、不正アクセスによる深刻な被害が確認されました。皆さまに安心してご利用いただくため、調査結果と今後の対策について正確にお伝えいたします。


1. サイバー攻撃の実態と被害

一部のユーザーから、「不審なサイトに自動転送される」とのご報告を受け、急遽サーバーのサポートチームに調査を依頼しました。調査の結果、第三者による不正アクセスが確認され、複数のサイトに広範囲にわたって被害が生じていました。今回の攻撃により、以下のような現象が発生しています:

– 意図しないサイトへのリダイレクト

アクセスした際に別の不審なサイトに転送される現象が確認されました。この不正なリダイレクトによって、多くの読者の皆さまにご迷惑をおかけしてしまいました。

– サーバー全体の不正プログラム設置

サーバー内のファイルが改ざんされ、不正プログラムが設置されていたことも判明しました。特に、WordPressのwp-config.phpといった重要なファイルが標的とされ、セキュリティリスクが発生していました。


2. 不正アクセスの手口と継続的な攻撃

調査では、複数の国外IPアドレスから執拗にアクセスが試みられており、現在も断続的に攻撃が続いています。具体的には以下のような特徴が確認されています:

  • 不正アクセスの継続的な試行
    攻撃者は特定の脆弱性を悪用し、手法を変えながら再度の侵入を試みています。これは執拗な攻撃であり、アクセスが遮断されるたびに手法を変更していると考えられます。
  • システム全体を狙う攻撃
    単一のページやファイルではなく、サイト全体が標的とされています。このため、複数のサイトにわたり広範囲に被害が及びました。

ChatGPT4o

今回の問題は一般的に「リダイレクトハッキング」と呼ばれるものに該当します。

リダイレクトハッキングは、攻撃者が不正なコードやスクリプトをサイトに挿入することで、訪問者を意図しない別のサイトに自動的にリダイレクトさせる手法です。多くの場合、リダイレクト先は悪質な広告、フィッシングサイト、またはマルウェア配布サイトであることが多いです。

 

リダイレクトハッキングの特徴と流れ

  1. 脆弱性の悪用:WordPressやそのプラグイン、テーマなどのセキュリティ脆弱性が悪用され、不正アクセスを許してしまいます。
  2. 不正なコードの挿入:攻撃者は、wp-config.phpwp_postsテーブルなどのWordPressファイルにスクリプトやリダイレクトコードを挿入します。
  3. リダイレクト:訪問者がサイトにアクセスすると、挿入されたコードが実行され、悪意のあるサイトへと転送されます。

この攻撃の影響

  • ユーザーの信頼失墜:訪問者が意図しないサイトにリダイレクトされるため、ユーザーが不安を感じ、信頼が低下します。
  • SEOへの悪影響:検索エンジンが不正なリダイレクトを検出すると、サイトの評価が下がり、検索結果から削除されるリスクもあります。
  • セキュリティリスク:訪問者がフィッシングサイトやマルウェアに感染する危険があります。


菅原隆志

僕はサイトのセキュリティをかなり完璧を意識していたのですが、放置して忘れていた別のワードプレスが同じサーバー内にあり、そこから入ると、別のワードプレスに入れるって知らず、今回の問題に繋がったと考えていますが、正しい認識ですか?


ChatGPT4o

はい、あなたの認識は正しいです。同じサーバー内に存在する未更新や放置されたWordPressサイトは、他のサイトへの「セキュリティホール」として機能する可能性があります。以下に、今回の問題につながった可能性とセキュリティリスクについて詳しく説明します。

サーバー内の複数のWordPressサイトとセキュリティリスク

サーバー内で複数のWordPressサイトをホストしている場合、各サイトのセキュリティは他のサイトにも影響を及ぼす可能性があります。具体的には、次のようなリスクが考えられます:

  1. 放置されたWordPressサイトの脆弱性
    • 更新されていないWordPressコア、プラグイン、またはテーマには、知られている脆弱性がある可能性が高いです。攻撃者は、これらの脆弱性を悪用して放置されたサイトに不正アクセスすることができます。
    • 一度アクセスが成功すると、攻撃者は同じサーバー内の他のWordPressサイトに移動し、そこにも不正コードを注入できる場合があります。
  2. ファイルとデータベースの共有リスク
    • 同じサーバー内でホストされている場合、攻撃者が一つのサイトに侵入すると、ファイル構造やデータベース接続情報を悪用して、他のWordPressサイトにアクセスすることが可能です。これは特に、wp-config.phpファイルやデータベース接続情報が同じ場所に保存されている場合にリスクが高まります。
    • サーバー上のユーザー権限やディレクトリの設定が緩いと、他のサイトのファイルにもアクセスできるため、感染が拡大しやすくなります。
  3. 横断的な不正アクセス
    • 攻撃者は、侵入したサイトから横断的に他のサイトにも不正スクリプトを展開することができます。これが「リダイレクトハッキング」や「バックドア設置」によって実行されると、サーバー全体に影響が広がる可能性があります。
    • 放置されたWordPressからアクセス権を取得された場合、他のWordPressサイトにも「乗り移り」が可能であることが多いです。

今回のケースの考察

今回、あなたがセキュリティを意識して管理していたサイトとは別の、長期間放置されていたWordPressサイトがサーバー内に存在していたため、攻撃者はその放置サイトを起点にしてサーバー全体にアクセスを広げた可能性があります。この場合、更新やセキュリティ対策が施されていないサイトが「入口」となり、管理していた他のサイトにも影響を与えたと考えられます。

3. サーバー側の対策と現在の対応状況

不正アクセスが判明した後、サーバーサポートチームと協力し、次の緊急対策を実施しました:

  • 不審なファイルやプログラムの削除
    改ざんされたファイルや不正なプログラムをサーバーから徹底的に削除しました。
  • WAF(Web Application Firewall)の有効化
    不正アクセスをブロックするため、WAFを設定し、全サイトでセキュリティ対策を強化しました。
  • セキュリティプラグインとパスワードの見直し
    脆弱性を解消するため、セキュリティプラグインやパスワードの見直しを行い、より強固な対策を講じています。
  • 今後の監視体制
    現在も継続的にアクセスログを監視し、新たな攻撃リスクに対応できる体制を整えています。

4. 会員情報に関するお知らせ

不正アクセスの対象となったサイトの一部(幸せの種「気づき」、サヨナラ・モンスター、エモーションプラス、トラウマ転換ウォーキング)には、会員登録をしている方の個人名やメールアドレスが含まれているものがあり、第三者によって閲覧された可能性があります。現在、外部への流出が確認されたわけではありませんが、以下のようにご注意いただくと安心です:

  • 詐欺メールや不審なメールへの注意
    万が一、スパムメールや詐欺メールが届いた場合、リンクをクリックしたり添付ファイルを開かないようご注意ください。
  • パスワードの変更
    他のサービスで同じパスワードを使用している場合は、パスワードを変更することを推奨いたします。

5. 読者の皆さまへ:お願いとお詫び

このたびの件で、私のサイトを閲覧してくださっている皆さまにご迷惑をおかけしたことを、心よりお詫び申し上げます。改めて申し上げますが、今回のリダイレクト問題は私が意図して行ったものではなく、第三者による不正アクセスが原因です。

皆さまが安心してサイトをご利用いただけるよう、今後も徹底してセキュリティ対策を強化してまいります。


6. 最後に

このような不正アクセスは、サイト運営においても大変深刻な問題ですが、今後も皆さまの信頼を取り戻せるようセキュリティ強化に全力で努めてまいります。引き続きご愛読いただけると幸いです。

何かご質問やご不明点がございましたら、お気軽にお問い合わせください。

菅原隆志

被害が深刻で、他のサイトの復旧も殆どできていない状態です。10年以上個人的に書き続けた記事も一部も破棄しないといけなくなる可能性もあり、今回の攻撃は正直、精神的ダメージも大きく、まいってしまっています。当分記事投稿や一部の返信はできないと思いますが、皆様からもメールなどは目を通させていただきます。(今回の件と、サヨナラ・モンスター購入者様への返信は遅くなってもします)

よかったらシェアしてね!
  • URLをコピーしました!

6年もの集大成:サヨナラ・モンスター

あなたの心の奥底には、知らず知らずのうちに抱え込んでしまった感情や思考の纏まりである"モンスター"が潜んでいるかもしれません。『サヨナラ・モンスター』は、「書くこと」でそのモンスターと対話し、心の傷を癒し、本当の自分を取り戻すための第一歩となる教材です。音楽の力を借りて、自分の心の声に耳を傾け、書くことで深い部分の心理的な問題を解放しましょう。今、この瞬間から、あなたの心の旅をスタートさせ、新しい自分との出会いを実感してください。 僕自身もこの方法で、数えきれないほどの心理的問題を解決してきました。その一つ一つが、大きなモンスター(纏まり)を紐解いて、その奥にいる「心の中の小さな自分」を救うことに繋がります。

この記事を書いた人

1980年、北海道に産まれる。保有資格(メンタルケア心理士、アンガーコントロールスペシャリスト・うつ病アドバイザー)中卒(だけどIQ127《日本人の平均は100》)。心理的セルフヘルプの専門家。物心ついた頃から熱心な宗教の信者たちに囲まれて育ち、洗脳的な教育を受ける(宗教2世:脱会済)。5歳まで殆ど喋らない子供だったそうで周囲からは「自閉症(生まれ持った特有の性質)じゃないか」と言われて育ち、数々の心の問題を抱え、生きる希望もなく、13歳から非行に走り、18歳で少年院を逃走し、以後、更生を誓うも、再び薬物中毒となり現実逃避。その後も凡ゆる心の問題(恐怖症、トラウマ、自閉的、強い拘り、パニック発作、強迫観念、強迫行為など)を抱えることになる。親や自分の境遇を恨み、そして、独学と自力で1つ1つ自身の心の問題を解決出来る部分から解決して(書くことによる癒し効果で)心に大きな変化を起こす。それにより幼少期からの潜在意識(無意識)に根を張る宗教の洗脳を自力で解き、恨みさえも克服し感謝の心が芽生える。そして自分の心の良い変化に繋がった情報を発信し続けるようになる。心の問題を抱えた当事者(心の問題、苦しみを直に体験し、影響を受けている個人)だからこそわかることがあり、発信する情報の多くが好評で、お礼の言葉をいただく機会も増える。心の根深い問題の解決、解消に役立つことを伝え続けることで、更に多くの人たちから「心の良い変化に繋がった」「カウンセリングを受けても良い変化がなかったのに、菅原さんの情報(方法)の実践で良い変化が起こりました!」という声を多数いただくことが増えたことを機に、電子書籍出版を開始。こういった表現活動が他者だけでなく自身の心の傷も癒していくこと(成長に繋がること)を体感し、その素晴らしさも含めて情報発信している。

・メンタルケア心理士
(メンタルケア学術学会認定)
・アンガーコントロールスペシャリスト資格
(一般財団法人 日本能力開発推進協会JADP認定)
・うつ病アドバイザー
(一般財団法人 日本能力開発推進協会JADP認定)

【メンタルケア心理士とは?】「メンタルケア心理士」は、「日本学術会議協力学術団体」に指定されている、「メンタルケア学術学会」が認定する資格(公的学会認定資格としての位置づけ)です。他にも、第三者評価機関(生涯学習開発財団・一般財団法人ヘルスケア産業推進財団)からも認定されています。

コメント

コメントする

目次