1. ホーム
  2. マニュアル
  3. トラブルからの復旧
  4. 不正アクセス(ファイルの改ざん、不正なファイル設置)について

不正アクセス(ファイルの改ざん、不正なファイル設置)について

本マニュアルは新・旧サーバーパネルに合わせて2種類ご用意しています。

不正アクセスとは、アクセス権限を持たない悪意のある人物がサーバーや情報システムの内部へ不正に侵入する行為を指します。
不正アクセスによりファイルの改ざん、不正なファイルの設置がされると、意図しないコンテンツが公開されてしまったり、閲覧者のPCやスマートフォンなどがウイルス感染してしまったり、個人情報が窃取されてしまうといった恐れがあります。

不正アクセスの流れ

不正アクセスの主な原因には以下の2通りがあります。

  • ログイン情報が流出する
    • - ID・パスワードを推測される
    • - ID・パスワードを盗み見られる
    • - フィッシングやマルウェア、他システムとの使い回しによりID・パスワードが漏洩する
  • セキュリティの脆弱性を突いたサイバー攻撃

    ※脆弱性とは、プログラムの不具合や設計上のミスが原因となって発生するセキュリティ上の欠陥のこと。

いずれの原因についても、事前に対策を実施しておくことで不正アクセスを防止したり、被害を最小限に抑えることができます。不正アクセスを防ぐ対策については、「不正アクセスの予防策」をご覧ください。

不正アクセスされた際の対処方法

不正アクセス(ファイルの改ざん、不正なファイル設置)の被害を受けてしまった場合、被害の拡大を防ぐため早急に以下をご対応ください。

セキュリティソフトやOS搭載のセキュリティ機能(Windows Defenderなど)にて、ご利用中の端末が危険なウイルスに感染していないか確認してください。

ファイルマネージャまたはFTPソフトを用い、以下いずれかの方法にて不正なコンテンツを削除してください。

マニュアル - ファイルマネージャ

マニュアル - FTPソフトの設定

※不正なコンテンツを削除する前にホームページの復旧作業について「※ホームページ再開の復旧作業」をご確認ください。

【推奨】すべてのファイルの削除

お客様のサーバーアカウント内のすべてのファイルを削除してください。
不正アクセスの被害に遭った場合、不正なファイルの他にバックドア(不正アクセス容易とする侵入経路)が設置されている可能性が非常に高くなります。
そのため、一度すべてのファイルを削除していただくことを強く推奨しています。

不正ファイルの削除

弊社にて不正アクセスの発生を検知した場合、件名「【エックスサーバー】■重要■ お客様のサーバーアカウントにおける不正なアクセスの検知および制限の実施について(xsvc************)」といったメールを送信しています。
そのメール内に記載してあります、[不正プログラムと思われるファイル一覧]のすべてのファイルについて削除を実施してください。

※[不正プログラムと思われるファイル一覧]に記載されているファイル以外にも不正なファイルが存在する可能性があります。必ずお客様ご自身ですべてのファイルを精査していただきますようお願いいたします。

※お客様ご自身ですべてのファイルを精査いただき、ドメイン名のフォルダより上の階層に不正ファイルが設置されていない場合、以下の方法でも不正なコンテンツを削除することができます。
該当ドメインの初期化

サーバーパネル内の「ドメイン設定」にて該当ドメインの「初期化」をクリックし、処理方法「ウェブ領域・設定の初期化」を選択してください。
ドメイン初期化により、該当ドメインのウェブ領域に設置されているすべてのファイルが削除されます。なお、本作業によるデータベースの初期化・削除はありません。

マニュアル - ドメインの初期化

WordPress初期化

サーバーパネル内の「WordPress初期化」にて該当WordPressの「初期化」をクリックしてください。

※WordPress初期化により不正コンテンツを削除できる場合のみ「WordPress初期化」メニューは表示されます。

WordPress初期化により、以下を除くすべてのWordPressデータが初期化されます。

  • 投稿記事などのMySQLデータベースの内容
  • メディアファイル(/wp-content/uploads/配下のファイル)

なお、本作業にてプラグインやテーマファイルが削除されるため、再インストールや再設定が必要となります。

WordPressリカバリー

サーバーパネル内の「WordPressリカバリー」にて該当WordPressの「復旧に進む」をクリックし、以下いずれかの項目をを選択、実行してください。

  • 不正アクセスを受けたWordPressの復旧
    投稿記事などのMySQLデータベースの内容、メディアファイル、インストールされているプラグインやテーマを全て引き継ぎ、対象のWordPressについてのみ補正を行います。
  • WordPress本体のリセット
    引き継ぐデータ(データベース/メディアデータ、テーマ/プラグイン)を選択したうえでWordPress本体をリセットします。

以下いずれかの方法にてホームページ再開の復旧作業を実施してください。

データファイルのアップロード

不正アクセスが発生する以前の改ざんされていないクリーンなデータをアップロードしてください。

不正アクセスの再発を防止するためには、すべてのデータをもう一度新規に作成していただくことが最善の方法となります。

データベース再利用による復旧(WordPressの場合)

不正なコンテンツの削除を実施する前に、WordPressの「wp-config.php」ファイル内に記載されているMySQL関連の情報をメモなどに控えておいてください。

  • MySQLデータベース
  • MySQLデータベースユーザー
  • MySQLデータベースユーザーのパスワード
  • MySQLホスト

不正なコンテンツ削除後は、公式サイト(https://ja.wordpress.org/)より最新版のWordPressを入手いただき、サーバー上にアップロードしてください。
その後、先程控えておいたMySQL関連の情報を「wp-config.php」ファイルに再設定することで投稿記事などの復旧が可能です。
なお、本作業後はプラグインやテーマファイルの再設定が必要となります。配布サイトから最新版をダウンロードしてください。

自動バックアップデータからの復旧

サーバーパネル内の「バックアップ」機能により過去のデータは自動でバックアップされています。
これによるデータ復元を行う場合は、必ず不正アクセスが発生する以前の日付のクリーンなバックアップデータを選択してください。
バックアップ機能について詳しくは以下サポートページをご覧ください。

サービス - 自動バックアップ

マニュアル - 自動バックアップからのデータ取得

マニュアル - 自動バックアップからのデータ復元

なお、一部のお客様においてはファイル数過多などによる負荷が原因でバックアップ機能の対象から除外されている場合があります。

XServerアカウントやサーバーパネル、WordPressなどの設置プログラムの管理パスワードを変更してください。
また、複数のサーバーIDや当社の他サービスをご契約されている方はすべてのアカウントについてパスワード変更していただくことを強く推奨しています。

XServerアカウント パスワード再設定フォーム

サーバーパネル パスワード再設定フォーム

WordPressの場合
  1. WordPress管理画面を開き、左メニュー「ユーザー」-「プロフィール」をクリックしてください。画面下部にある「アカウント管理」にて新しいパスワードを設定し、「プロフィールを更新」をクリックしてください。

    WordPress管理画面

  2. 左メニュー「ユーザー」-「ユーザー一覧」をクリックし、身に覚えのないユーザーや不要なユーザーが存在する場合はユーザー削除を実施してください。

    WordPress管理画面

サブFTPアカウントを利用した不正アクセスの場合は、以下の方法にて該当のサブFTPアカウントのパスワード変更または削除をしてください。

1. 「メールアカウント設定」をクリック

サーバーパネルにログインし、「サブFTPアカウント設定」をクリックしてください。

「サブFTPアカウント設定」をクリック

2. 該当ドメインの「選択する」をクリック

該当ドメインの「選択する」をクリックしてください。

該当ドメインの「選択する」をクリック

3. 該当サブFTPアカウントのパスワードの変更またはサブFTPアカウントの削除をする

該当サブFTPアカウントの「変更」、「削除」より、パスワードの変更またはサブFTPアカウントの削除を実施してください。

サブFTPアカウント一覧画面

二段階認証とは、管理ツールなどへのログインの際に通常のパスワード認証に加え、ワンタイムパスワードを生成する認証コード生成アプリ(Google Authenticatorなど)のような第二の認証方法を設け、セキュリティを強化する仕組みです。二段階認証設定をしていただくことで通常のパスワード認証に比べ、不正アクセスを抑止できる可能性が高くなります。詳しくは以下サポートページをご覧ください。

マニュアル - 二段階認証設定

古いバージョンのプログラムを使用し続けることで不正アクセスの対象として狙われるリスクが高くなります。OSを含めソフトウェアは常に最新の状態を保つよう、アップデートをしてください。

CMS(PHPなどで構成された動的サイト)に関しても定期的な更新により不正アクセスのリスク軽減に繋がります。以下の方法にて最新版へのアップデートをしてください。

WordPressの場合

WordPress管理画面を開き、左メニュー「ダッシュボード」-「更新」をクリックしてください。
新しいバージョンがある場合、以下のようなメッセージが表示されているので「バージョン *.*.*-ja に更新」をクリックします。

WordPressの更新画面

プラグインの場合

WordPress管理画面を開き、左メニュー「プラグイン」-「インストール済みプラグイン」をクリックしてください。
新しいバージョンが利用できるプラグインでは以下のようなメッセージが表示されているので「更新」の箇所をクリックします。

WordPressの更新画面

不要なプラグインがある場合は削除を実施してください。

WordPressの更新画面

テーマの場合

WordPress管理画面を開き、左メニュー「外観」-「テーマ」をクリックしてください。
新しいバージョンが利用できるテーマでは以下のようなメッセージが表示されているので「今すぐ更新」の箇所をクリックします。

WordPressのテーマ画面

不要なテーマがある場合は削除を実施してください。

WordPressのテーマ画面

WordPressセキュリティ設定とは、ご利用中のWordPressにおいて国外IPアドレスからの接続を制限したり、パスワードの総当り攻撃による第三者の不正ログインを防止するなどといった、不正アクセスに対するWordPressのセキュリティを強化する機能です。
詳しくは以下サポートページをご覧ください。

マニュアル - WordPressセキュリティ設定

WAF(Webアプリケーションファイアウォール)設定とは、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護することができる機能です。詳しくは以下サポートページをご覧ください。

マニュアル - WAF設定

php.ini設定とは、PHPプログラムの全体的な動作や環境を設定するphp.iniファイルをドメインごとに編集することができる機能です。
お客様のWebサイトにてPHPプログラムをご利用中、かつ外部ファイルの読み込み/実行が必要でない場合、項目「その他の設定」より「allow_url_fopen」および「allow_url_include」を「無効(Off)」にしていただくことを強く推奨しています。

※XアクセラレータVer.2をご利用中の場合、「allow_url_fopen」は初期値である「有効(On)」が適用されます。該当の設定項目変更は強制ではありませんが、WEBサイトのセキュリティを重視される場合は、XアクセラレータVer.1に変更していただいたうえで「無効(Off)」にしていただきますようお願いいたします。

マニュアル - php.ini設定

マニュアル - php.ini設定で設定可能な項目について

マニュアル - XアクセラレータVer.2利用時に無効となるphp.ini設定について

不正アクセスとは、アクセス権限を持たない悪意のある人物がサーバーや情報システムの内部へ不正に侵入する行為を指します。
不正アクセスによりファイルの改ざん、不正なファイルの設置がされると、意図しないコンテンツが公開されてしまったり、閲覧者のPCやスマートフォンなどがウイルス感染してしまったり、個人情報が窃取されてしまうといった恐れがあります。

不正アクセスの流れ

不正アクセスの主な原因には以下の2通りがあります。

  • ログイン情報が流出する
    • - ID・パスワードを推測される
    • - ID・パスワードを盗み見られる
    • - フィッシングやマルウェア、他システムとの使い回しによりID・パスワードが漏洩する
  • セキュリティの脆弱性を突いたサイバー攻撃

    ※脆弱性とは、プログラムの不具合や設計上のミスが原因となって発生するセキュリティ上の欠陥のこと。

いずれの原因についても、事前に対策を実施しておくことで不正アクセスを防止したり、被害を最小限に抑えることができます。不正アクセスを防ぐ対策については、「不正アクセスの予防策」をご覧ください。

不正アクセスされた際の対処方法

不正アクセス(ファイルの改ざん、不正なファイル設置)の被害を受けてしまった場合、被害の拡大を防ぐため早急に以下をご対応ください。

セキュリティソフトやOS搭載のセキュリティ機能(Windows Defenderなど)にて、ご利用中の端末が危険なウイルスに感染していないか確認してください。

ファイルマネージャまたはFTPソフトを用い、以下いずれかの方法にて不正なコンテンツを削除してください。

マニュアル - ファイルマネージャ

マニュアル - FTPソフトの設定

※不正なコンテンツを削除する前にホームページの復旧作業について「※ホームページ再開の復旧作業」をご確認ください。

【推奨】すべてのファイルの削除

お客様のサーバーアカウント内のすべてのファイルを削除してください。
不正アクセスの被害に遭った場合、不正なファイルの他にバックドア(不正アクセス容易とする侵入経路)が設置されている可能性が非常に高くなります。
そのため、一度すべてのファイルを削除していただくことを強く推奨しています。

不正ファイルの削除

弊社にて不正アクセスの発生を検知した場合、件名「【エックスサーバー】■重要■ お客様のサーバーアカウントにおける不正なアクセスの検知および制限の実施について(xsvc************)」といったメールを送信しています。
そのメール内に記載してあります、[不正プログラムと思われるファイル一覧]のすべてのファイルについて削除を実施してください。

※[不正プログラムと思われるファイル一覧]に記載されているファイル以外にも不正なファイルが存在する可能性があります。必ずお客様ご自身ですべてのファイルを精査していただきますようお願いいたします。

※お客様ご自身ですべてのファイルを精査いただき、ドメイン名のフォルダより上の階層に不正ファイルが設置されていない場合、以下の方法でも不正なコンテンツを削除することができます。
該当ドメインの初期化

サーバーパネル内の「ドメイン設定」にて該当ドメインの「初期化」をクリックし、処理方法「ウェブ領域・設定の初期化」を選択してください。
ドメイン初期化により、該当ドメインのウェブ領域に設置されているすべてのファイルが削除されます。なお、本作業によるデータベースの初期化・削除はありません。

マニュアル - ドメインの初期化

WordPress初期化

サーバーパネル内の「WordPress初期化」にて該当WordPressの「初期化」をクリックしてください。

※WordPress初期化により不正コンテンツを削除できる場合のみ「WordPress初期化」メニューは表示されます。

WordPress初期化により、以下を除くすべてのWordPressデータが初期化されます。

  • 投稿記事などのMySQLデータベースの内容
  • メディアファイル(/wp-content/uploads/配下のファイル)

なお、本作業にてプラグインやテーマファイルが削除されるため、再インストールや再設定が必要となります。

WordPressリカバリー

サーバーパネル内の「WordPressリカバリー」にて該当WordPressの「復旧に進む」をクリックし、以下いずれかの項目をを選択、実行してください。

  • 不正アクセスを受けたWordPressの復旧
    投稿記事などのMySQLデータベースの内容、メディアファイル、インストールされているプラグインやテーマを全て引き継ぎ、対象のWordPressについてのみ補正を行います。
  • WordPress本体のリセット
    引き継ぐデータ(データベース/メディアデータ、テーマ/プラグイン)を選択したうえでWordPress本体をリセットします。

以下いずれかの方法にてホームページ再開の復旧作業を実施してください。

データファイルのアップロード

不正アクセスが発生する以前の改ざんされていないクリーンなデータをアップロードしてください。

不正アクセスの再発を防止するためには、すべてのデータをもう一度新規に作成していただくことが最善の方法となります。

データベース再利用による復旧(WordPressの場合)

不正なコンテンツの削除を実施する前に、WordPressの「wp-config.php」ファイル内に記載されているMySQL関連の情報をメモなどに控えておいてください。

  • MySQLデータベース
  • MySQLデータベースユーザー
  • MySQLデータベースユーザーのパスワード
  • MySQLホスト

不正なコンテンツ削除後は、公式サイト(https://ja.wordpress.org/)より最新版のWordPressを入手いただき、サーバー上にアップロードしてください。
その後、先程控えておいたMySQL関連の情報を「wp-config.php」ファイルに再設定することで投稿記事などの復旧が可能です。
なお、本作業後はプラグインやテーマファイルの再設定が必要となります。配布サイトから最新版をダウンロードしてください。

自動バックアップデータからの復旧

サーバーパネル内の「バックアップ」機能により過去のデータは自動でバックアップされています。
これによるデータ復元を行う場合は、必ず不正アクセスが発生する以前の日付のクリーンなバックアップデータを選択してください。
バックアップ機能について詳しくは以下サポートページをご覧ください。

サービス - 自動バックアップ

マニュアル - 自動バックアップからのデータ取得

マニュアル - 自動バックアップからのデータ復元

なお、一部のお客様においてはファイル数過多などによる負荷が原因でバックアップ機能の対象から除外されている場合があります。

XServerアカウントやサーバーパネル、WordPressなどの設置プログラムの管理パスワードを変更してください。
また、複数のサーバーIDや当社の他サービスをご契約されている方はすべてのアカウントについてパスワード変更していただくことを強く推奨しています。

XServerアカウント パスワード再設定フォーム

サーバーパネル パスワード再設定フォーム

WordPressの場合
  1. WordPress管理画面を開き、左メニュー「ユーザー」-「プロフィール」をクリックしてください。画面下部にある「アカウント管理」にて新しいパスワードを設定し、「プロフィールを更新」をクリックしてください。

    WordPress管理画面

  2. 左メニュー「ユーザー」-「ユーザー一覧」をクリックし、身に覚えのないユーザーや不要なユーザーが存在する場合はユーザー削除を実施してください。

    WordPress管理画面

FTPアカウントを利用した不正アクセスの場合は、以下の方法にて該当のFTPアカウントのパスワード変更または削除をしてください。

1. 「メールアカウント設定」をクリック

サーバーパネルにログインし、「FTPアカウント設定」をクリックしてください。

「FTPアカウント設定」をクリック

2. 該当FTPアカウントのパスワードの変更またはFTPアカウントの削除をする

該当FTPアカウントの「編集」、「削除」より、パスワードの変更またはFTPアカウントの削除を実施してください。

FTPアカウント一覧画面

二段階認証とは、管理ツールなどへのログインの際に通常のパスワード認証に加え、ワンタイムパスワードを生成する認証コード生成アプリ(Google Authenticatorなど)のような第二の認証方法を設け、セキュリティを強化する仕組みです。二段階認証設定をしていただくことで通常のパスワード認証に比べ、不正アクセスを抑止できる可能性が高くなります。詳しくは以下サポートページをご覧ください。

マニュアル - 二段階認証設定

古いバージョンのプログラムを使用し続けることで不正アクセスの対象として狙われるリスクが高くなります。OSを含めソフトウェアは常に最新の状態を保つよう、アップデートをしてください。

CMS(PHPなどで構成された動的サイト)に関しても定期的な更新により不正アクセスのリスク軽減に繋がります。以下の方法にて最新版へのアップデートをしてください。

WordPressの場合

WordPress管理画面を開き、左メニュー「ダッシュボード」-「更新」をクリックしてください。
新しいバージョンがある場合、以下のようなメッセージが表示されているので「バージョン *.*.*-ja に更新」をクリックします。

WordPressの更新画面

プラグインの場合

WordPress管理画面を開き、左メニュー「プラグイン」-「インストール済みプラグイン」をクリックしてください。
新しいバージョンが利用できるプラグインでは以下のようなメッセージが表示されているので「更新」の箇所をクリックします。

WordPressの更新画面

不要なプラグインがある場合は削除を実施してください。

WordPressの更新画面

テーマの場合

WordPress管理画面を開き、左メニュー「外観」-「テーマ」をクリックしてください。
新しいバージョンが利用できるテーマでは以下のようなメッセージが表示されているので「今すぐ更新」の箇所をクリックします。

WordPressのテーマ画面

不要なテーマがある場合は削除を実施してください。

WordPressのテーマ画面

WordPressセキュリティ設定とは、ご利用中のWordPressにおいて国外IPアドレスからの接続を制限したり、パスワードの総当り攻撃による第三者の不正ログインを防止するなどといった、不正アクセスに対するWordPressのセキュリティを強化する機能です。
詳しくは以下サポートページをご覧ください。

マニュアル - WordPressセキュリティ設定

WAF(Webアプリケーションファイアウォール)設定とは、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護することができる機能です。詳しくは以下サポートページをご覧ください。

マニュアル - WAF設定

php.ini設定とは、PHPプログラムの全体的な動作や環境を設定するphp.iniファイルをドメインごとに編集することができる機能です。
お客様のWebサイトにてPHPプログラムをご利用中、かつ外部ファイルの読み込み/実行が必要でない場合、項目「その他の設定」より「allow_url_fopen」および「allow_url_include」を「無効(Off)」にしていただくことを強く推奨しています。

※XアクセラレータVer.2をご利用中の場合、「allow_url_fopen」は初期値である「有効(On)」が適用されます。該当の設定項目変更は強制ではありませんが、WEBサイトのセキュリティを重視される場合は、XアクセラレータVer.1に変更していただいたうえで「無効(Off)」にしていただきますようお願いいたします。

マニュアル - php.ini設定

マニュアル - php.ini設定で設定可能な項目について

マニュアル - XアクセラレータVer.2利用時に無効となるphp.ini設定について