WordPressが”外部と通信”している?感染サイトが知らぬ間に加担している攻撃の実態

WordPressが”外部と通信”している?感染サイトが知らぬ間に加担している攻撃の実態

「サイトを修正したつもりなのに、サーバーの負荷が異常に高いままだ」「ホスティング会社から『不審な外部通信が検出された』と通知が来た」「自分のサイトが第三者への攻撃に使われていると言われた」——こうした状況に直面していませんか?

マルウェアに感染したWordPressサイトは、訪問者への被害を与えるだけでなく、サーバー自体が外部の攻撃者と通信し続け、知らないうちに犯罪行為の”踏み台”として利用されているケースがあります。サイトの見た目が正常に戻っているように見えても、裏側では今この瞬間も不審な通信が続いている可能性があります。

この記事では、WordPressセキュリティの視点から、感染後のサーバーで発生する外部通信の実態と、その危険性を解説します。

C2通信とbotnet接続——サーバーが”遠隔操作”される仕組み

C2通信(C&C通信)とは、攻撃者が用意した指令サーバー(Command & Control Server)と感染したサーバーとの間で行われる通信のことです。攻撃者はC2サーバーを通じて、感染したWordPressサーバーに対してリモートから命令を送り続けます。命令の内容はスパムメールの大量送信・他サイトへの攻撃の実行・新たなマルウェアのダウンロードなど多岐にわたります。

そしてC2通信で制御される感染サーバーが複数集まった状態がbotnet(ボットネット)です。botnetとは、攻撃者の指令のもとに一斉に動く感染サーバー・端末の集合体のことで、あなたのWordPressサーバーがその一員として組み込まれている状態を指します。

botnetに組み込まれると、自分のサーバーのリソース(通信帯域・処理能力)が攻撃者に無断で使用され続けます。大量のスパムメールを送信する踏み台にされた場合、自分のサーバーのIPアドレスがメールブラックリストに登録され、正規のメール送信すら届かなくなるという二次被害も発生します。また、他のサイトへのサイバー攻撃に加担した記録がサーバーのログに残るため、法的なリスクが生じる可能性もゼロではありません。

C2通信の特徴は、通信が定期的・自動的に行われ、かつ通常のHTTPS通信に偽装されているケースが多い点です。そのため、通信ログを専門的に解析しない限り、感染に気づくことが非常に難しいです。

▶ 専門家に依頼すると:サーバーの通信ログの全件解析、C2サーバーへの接続記録の特定、マルウェアによる定期実行タスク(cronジョブ)の検出と削除、外部指令を受信するバックドアコードの除去を行います。

外部API悪用と不審ドメインへの接続——”正規の機能”を隠れ蓑にする手口

外部API悪用と不審ドメインへの接続

外部API悪用とは、WordPressのプラグインやテーマが備える外部サービス連携機能(API)を攻撃者が悪用し、不正な目的で外部サーバーとデータをやり取りする行為のことです。APIとはサービス同士がデータを送受信するための仕組みで、本来は天気情報の取得や決済処理など正規の目的で使われますが、マルウェアが埋め込まれたコードは同じ仕組みを使って個人情報・フォーム入力データ・ログイン情報を外部に送信します。

この手口が発見しにくい理由は、通信の形式が正規のAPI呼び出しと区別がつきにくく、セキュリティツールの監視をすり抜けやすい点にあります。特にECサイトや会員登録フォームを持つWordPressサイトでは、顧客の氏名・住所・クレジットカード情報が攻撃者に送信され続けているリスクがあります。

また、不審ドメインへの接続とは、WordPressのページが読み込まれる際に、正規のサービスとは無関係の見知らぬドメインへの通信が発生している状態のことです。ブラウザの開発者ツールや通信ログを確認すると、まったく覚えのないドメイン名への通信が記録されていることがあります。

こうした不審ドメインは、マルウェアの配布元・フィッシングサイト・攻撃者が管理するデータ収集サーバーであることが多く、そこへの通信が発生しているということは、サーバーまたは訪問者のブラウザ上で何らかの不正処理が動いていることを意味します。ドメインの所在地・登録日・評判情報などを調べることで、悪意ある通信先かどうかをある程度判断することができますが、これには専門的な調査が必要です。

▶ 専門家に依頼すると:外部通信先ドメインの全件調査、不審ドメインへの通信を引き起こしているコードの特定、情報送信を行うマルウェアコードの除去、影響を受けた可能性のある個人情報の範囲特定を行います。

異常トラフィック——サーバーが”疲弊”しているときに起きていること

異常トラフィックとは、通常の訪問者によるアクセスとは異なる、異常に大量または不規則なサーバーへの通信・リクエストが発生している状態のことです。

感染後のWordPressサーバーで見られる異常トラフィックには、主に以下のパターンがあります。

ひとつ目は、スパム送信による異常です。感染サーバーがスパムメールの大量送信装置として使われると、メール送信処理がサーバーリソースを大量に消費し、本来のWebサイトの表示が著しく遅くなったり、サーバーが過負荷でダウンしたりします。ホスティング会社がこの通信を検知してアカウントを停止するのは、このケースであることが多いです。

ふたつ目は、DDoS攻撃の踏み台になっているケースです。DDoS攻撃とは、大量のリクエストを特定のサーバーに送りつけてサービスを停止させる攻撃のことで、感染したWordPressサーバーがその攻撃を実行するbotnetの一員として使われることがあります。自分のサーバーが第三者への攻撃の発信源になっているため、攻撃先の企業・サービスから通報や法的措置の対象になるリスクが生じます。

みっつ目は、スキャン活動です。感染サーバーが他のWordPressサイトの脆弱性を探索するスキャンツールを動かし、新たな感染先を自動探索するプログラムが動いているケースです。自分のサーバーが”感染を広げる側”に回っている状態です。

いずれのケースも、サーバーのアクセスログや通信ログを時系列で解析することで異常なパターンを検出できますが、膨大なログの中から異常を特定する作業は専門的な知識と経験を必要とします。

▶ 専門家に依頼すると:アクセスログ・メール送信ログ・cronジョブの包括的な解析、スパム送信プログラムの特定と削除、DDoS攻撃参加コードの除去、ホスティング会社への適切な報告対応のサポートを行います。

この記事のまとめ

感染したWordPressサーバーは、サイトの表示に関わる被害だけでなく、外部との不正通信を通じて以下のような深刻な問題を引き起こしています。

  1. C2通信・botnet接続:攻撃者の指令サーバーに繋がれ、遠隔操作される状態になっている
  2. 外部API悪用・不審ドメイン接続:個人情報や入力データが外部に送信され続けている
  3. 異常トラフィック:スパム送信・DDoS攻撃・スキャン活動の踏み台として使われている

これらの問題が厄介なのは、サイトの見た目やコンテンツには一切異常がなくても、バックグラウンドでは今この瞬間も不正通信が続いている可能性がある点です。そして被害はあなたのサイト訪問者だけでなく、全く関係のない第三者のサービスや組織にまで及ぶことがあります。

外部通信の特定と遮断には、サーバーのログ解析・ネットワーク通信の監視・マルウェアコードの解析という複合的な調査が必要です。これはファイルの削除やデータベースのクリーンアップとは異なる専門領域であり、適切なツールと知識なしに自力で対処することは現実的ではありません。

「自分のサーバーが犯罪に加担している状態」を一刻も早く終わらせるためにも、WordPressセキュリティの専門家に調査と対応を依頼することを強くおすすめします。まずは現状の通信状態を正確に把握することが、完全な復旧への確実な一歩です。

外部通信の特定 語彙辞典

外部通信の特定 語彙辞典

本辞典は、マルウェア感染によってサイトが停止してしまった方が、サーバーが「外部の怪しいサーバーとどのような通信を行っているか」を突き止め、被害の拡大や情報の流出を阻止(外部通信の特定)するための必須キーワード集です。

■ 1. 外部通信(Outbound Traffic / 外向き通信)

あなたのWordPressサーバーから、インターネット上の他のサーバーに向けてデータを送信する通信。マルウェアが遠隔操作されたり、情報を盗み出したりする際に発生します。

■ 2. C2サーバー(Command and Control Server)

ハッカーが乗っ取ったWordPress(マルウェア)に対して、遠隔で攻撃指令を出したり、盗んだデータを回収したりするために設置する「司令塔」となる外部サーバー。

■ 3. file_get_contents / curl(PHP外部通信関数)

PHPプログラムが外部のウェブサイトから情報を取得したり、データを送信したりするときに使う関数。マルウェアがC2サーバーから最新の攻撃コードをダウンロードする際によく悪用されます。

■ 4. fsockopen / pfsockopen

サーバー間で直接ネットワーク接続(ソケット通信)を確立するためのPHP関数。通常のプラグインではあまり使われないため、不審な外部通信を行うバックドア(裏口)によく仕込まれます。

■ 5. スパムメール踏み台(Mail Relay)

攻撃者があなたのサーバーに忍び込ませたプログラムを使って、大量の迷惑メール(フィッシング詐欺など)を外部へ勝手に送信すること。サーバーのIPアドレスがブラックリストに載る原因になります。

■ 6. API連携(External API Requests)

本来は正規のプラグインが外部サービスとデータ連携するための仕組み。しかし、マルウェアがこれを悪用して、サイトの管理者情報やデータベースの中身を外部へ転送(リーク)することがあります。

■ 7. ドメインルックアップ(DNS Lookup)

プログラムが外部通信を行う際、接続先(C2サーバーなど)のドメイン名からIPアドレスを割り出す行為。DNSの問い合わせ履歴を調べることで、不審な通信先ドメインを特定できます。

■ 8. リバースプロキシ(Reverse Proxy)

通信の出入り口を中継する仕組み。マルウェアが本物のC2サーバーの居場所(IPアドレス)を隠蔽し、追跡を逃れるために中継用の外部サーバーを経由させる手口があります。

■ 9. IPアドレスブロック(IP Blocking / 遮断)

調査によって特定した、悪意ある外部通信先(C2サーバーやスパム送信元など)のIPアドレスを、サーバーの設定ファイル(.htaccess)やファイアウォールで拒否し、通信を完全に断つ対策。

■ 10. パケットキャプチャ / 通信ログ(Packet Capture)

サーバーに出入りする通信データ(パケット)をリアルタイムで記録・監視すること。レンタルサーバーでは制限が多いですが、どのファイルが・どこの外部サーバーと・どんなデータをやり取りしたかを暴く究極の手がかりになります。

お問い合わせはこちら

サービスに関するご相談・お見積りなど、お気軽にお問い合わせください。

お問い合わせフォームへ