スマホで自社サイトを開いたら海外のサイトが表示される — サイト乗っ取り被害の復旧事例

概要

Webサイトが乗っ取られ、スマホでアクセスすると海外のギャンブルサイトが表示されるという被害がありました。サーバー内のファイル調査から不正プログラムの除去、再発防止策の提案まで対応した事例をご紹介します。

ある日、こんな相談がありました。「スマホで自社サイトを開いたら、海外のギャンブルサイトが表示される」。

実際に確認してみると、たしかにスマホからアクセスするとオンラインカジノのページが表示されます。ところが、パソコンのブラウザから同じURLを開くと問題なく表示される。そうすることによって、発見を少しでも遅らせるというものだと思われます。

対象のサイトは構築から10年以上が経過しており、保守やアップデートが行われていなかったと思われます。

まず、サーバー内のファイルをひとつずつ調査しました。見つかった被害は大きく3つです。

1. 不正な侵入口が3つ仕掛けられていた

外部から自由にファイルを操作できるプログラムが3件、サーバー内に設置されていました。攻撃者はこれを通じて、サイトのファイルを見たり書き換えたりできる状態でした。

2. アクセス元によって表示を切り替える仕組みが埋め込まれていた

サイトのトップページが改ざんされ、「スマホや検索エンジンからのアクセスのときだけ」偽のギャンブルサイトを表示する仕組みが埋め込まれていました。パソコンのブラウザでは正常に表示されるため、管理者が目視で気づくのはほぼ不可能です。

3. 偽サイトが丸ごとアップロードされていた

ギャンブルサイトのページがサーバー内にまるごと置かれており、スマホや検索エンジン経由のアクセスはすべてこの偽ページに誘導されていました。

原因は、サイトを動かしているソフトウェアが長期間更新されていなかったことです。10年以上前のバージョンのまま運用されており、すでに数百件の脆弱性（攻撃に使える弱点）が公表されている状態でした。攻撃者にとっては、鍵のかかっていない家に入るようなものです。

復旧は以下の手順で進めました。

証拠の保全：不正なファイルを削除する前に、すべて別の場所に退避しました。「何をされていたか」をあとから正確に報告するための記録です。

不正ファイルの除去：侵入口として使われていたプログラム3件と、偽サイトのファイルをすべて削除。書き換えられていたトップページは、正常な状態に復元しました。

応急的なセキュリティ強化：攻撃に悪用されやすいサーバーの機能を無効化し、同じ手口での再侵入を防ぐ最低限の対策を施しました。

調査レポートの提出：被害の内容、侵入経路、影響範囲、今後の対策をまとめた報告書を作成し、クライアントにお渡ししました。

不正ファイルの除去とセキュリティ強化により、サイトは正常な状態に戻りました。スマホからアクセスしてもギャンブルサイトは表示されなくなり、Googleの検索結果にも本来のサイト情報が正しく表示されるようになっています。

あわせて、サイト全体のソフトウェア更新や今後の保守体制についてもご提案しました。

今回の被害で厄介だったのは、「パソコンで見ると正常に表示される」という点です。普段パソコンで管理画面を開いて確認している管理者にとって、スマホだけで起きている異常には気づきようがありません。この手口は珍しくなく、発覚が遅れるほど検索エンジンからの評価が下がり、回復に時間がかかります。

定期的に以下の確認することをおすすめします。

サイトの乗っ取りは、放置するほど被害が広がります。検索結果からの除外、訪問者の悪意あるサイトへの誘導、企業としての信用低下——どれも取り返しがつかなくなる前に手を打つ必要があります。

「スマホで見たらおかしなサイトが表示される」「検索結果に変な文言が出ている」と感じたら、できるだけ早くご相談ください。調査から復旧、再発防止まで対応いたします。