1つのサイトを直しても終わらない——同じサーバーの別ドメインへの感染拡大を解説

1つのサイトを直しても終わらない——同じサーバーの別ドメインへの感染拡大を解説

「感染したサイトをクリーンアップしたはずなのに、同じサーバーで運用している別のサイトにも同じ症状が出始めた」「1つのWordPressを復旧させると、今度は別ドメインのサイトが落ちた」「複数のサイトを同じサーバーで管理しているが、どこから手をつければいいのかわからない」——こうした状況に直面している方は、感染が単一サイトの問題ではなく、サーバー全体に広がっている可能性を疑う必要があります。

多くの中小企業・個人事業主・Web制作者は、コスト効率の観点から複数のWordPressサイトやドメインを同一の共有サーバーやVPS上で運用しています。この構成は経済的に合理的ですが、セキュリティの観点からは「1つが感染すれば全体が危険にさらされる」という重大なリスクを抱えています。

この記事では、WordPressセキュリティの専門家の視点から、同一サーバー内での感染拡大のメカニズムと、その全体的な対処方法を解説します。

クロスサイト感染と共有ユーザー権限——感染が”隣”に移る仕組み

クロスサイト感染とは、同一サーバー上で稼働している複数のウェブサイト間で、マルウェアや不正コードが横断的に波及する現象のことです。1つのサイトに侵入した攻撃者またはマルウェアが、同じサーバー内の他のサイトのファイルやデータベースにもアクセスし、感染を広げていきます。

このクロスサイト感染が発生する最大の原因が、共有ユーザー権限です。共有ユーザー権限とは、同一サーバー上に設置された複数のウェブサイトが、サーバーOS上の同一のシステムユーザーアカウントで動作している状態のことです。

一般的な共有ホスティング環境では、1つのサーバーアカウントの配下に複数のドメインとそのファイルが格納されています。この構成では、サーバーアカウントのユーザー権限が1つのサイトの全ファイルに対して有効であるため、あるサイトで動作しているPHPコードが同じユーザー権限の範囲内にある別サイトのファイルを読み取ったり、書き換えたりすることが技術的に可能な状態になっています。

攻撃者が1つのWordPressサイトにバックドアを設置すると、そのバックドアはサーバーユーザーの権限内にあるすべてのファイルにアクセスできます。つまり、同じサーバーアカウント配下で運用されている別のWordPressサイト・静的HTMLサイト・その他のウェブアプリケーションのファイルを、バックドア経由で自由に操作できる状態になるのです。

この仕組みのために、「1つのサイトだけをクリーンアップして復旧させても、同じサーバー内に残った別の感染箇所から再びバックドアが書き込まれる」という再感染のサイクルが発生します。サーバー内の1つのサイトを完全に修復しても、別サイトの汚染が残っている限り、全体の安全は確保できません。

▶ 専門家に依頼すると:同一サーバーアカウント配下の全サイト・全ドメインの感染状況を包括的に調査、クロスサイト感染の経路特定、サーバーユーザー権限の構成見直しと適切な分離設定の提案を行います。

同一FTP利用とマルチドメイン汚染——管理の”一元化”が生むリスク

管理の"一元化"が生むリスク

同一FTP利用とは、複数のウェブサイトやドメインのファイル管理を、1つのFTPアカウントで行っている状態のことです。運用上の利便性から多くの管理者が採用しているこの構成ですが、セキュリティ上は深刻なリスクをはらんでいます。

FTPアカウントの認証情報(ユーザー名・パスワード)が一度漏えいすると、そのアカウントでアクセスできるサーバー内のすべてのファイルが攻撃者の支配下に入ります。1つのFTPアカウントで複数サイトのファイルを管理していれば、全サイトのファイルが一度に掌握されます。FTPの認証情報はFTPクライアントソフト(FileZillaなど)に保存されていることが多く、管理者のPC自体がマルウェアに感染した場合に認証情報が抜き取られるケースも多く報告されています。

マルチドメイン汚染とは、同一サーバー上で運用している複数のドメイン・サイトが連鎖的に感染し、汚染が広範囲に及んでいる状態のことです。

マルチドメイン汚染が厄介なのは、被害の全体像の把握が困難な点です。管理者の認識としては「AというサイトとBというサイトを運営している」という感覚でも、サーバー内の実態としては双方のファイルが同一ユーザー権限の下で混在しており、感染の波及経路が複雑に絡み合っています。

また、複数サイトを運営している場合、それぞれのWordPressのバージョン・プラグイン構成・更新状況が異なることが多く、セキュリティ強度が最も低いサイトが全体の弱点になります。攻撃者はサーバー全体をスキャンし、最も脆弱なサイトを起点として侵入し、そこから他のサイトへ横断的に感染を広げます。

さらに、複数サイトの中に長期間更新・管理されていない「放置サイト」が含まれている場合、そのサイトは特に危険です。放置サイトは脆弱なバージョンのWordPressやプラグインがそのまま残り、かつ管理者が症状に気づきにくいため、感染の発見が遅れ、長期間にわたってバックドアが温存され続ける起点になります。

▶ 専門家に依頼すると:全ドメイン・全サイトの感染状況の一括調査、FTPアカウントの構成見直しとサイトごとの権限分離、放置サイトのセキュリティリスク評価と対処方針の策定、マルチドメイン環境全体のクリーンアップ計画の立案と実施を行います。

横断的バックドア——サーバー全体を支配し続ける”見えない橋”

横断的バックドアとは、同一サーバー上の複数サイトにまたがって機能するよう設計・設置されたバックドアのことです。通常のバックドアが特定のサイトへの再侵入を目的とするのに対し、横断的バックドアはサーバー全体の継続的な支配を目的として、複数の場所に分散して設置されます。

横断的バックドアの特徴は、その分散性と相互依存性にあります。例えば、Aサイトのバックドアを削除しても、Bサイトに設置されたバックドアから再びAサイトにコードを書き込む仕組みが作られているケースがあります。また、各サイトのバックドアが互いに監視し合い、どれかが削除されると別のバックドアが自動的に復元するような高度な仕組みが実装されているケースも存在します。

こうした横断的バックドアは、以下のような場所に分散して設置されることが多いです。

サーバーアカウント共通でアクセスできるディレクトリ(複数サイトの上位ディレクトリ)への設置はその典型です。ここに設置されたバックドアは、配下にあるすべてのサイトに対して影響力を持ちます。また、各サイトのアップロードディレクトリ(wp-content/uploads/)への分散設置も頻繁に見られます。このディレクトリはPHPの実行が本来想定されていない場所であるため、見落とされやすいです。さらに、使用していない・あるいは存在すら忘れられているサブドメインや旧サイトのディレクトリへの設置も確認されています。

横断的バックドアへの対処が特に難しい理由は、単一サイトを対象とした通常のクリーンアップでは発見・除去が不可能な点です。サーバー全体を横断的に調査し、すべてのドメイン・ディレクトリを対象としたバックドア探索を行わなければ、必ずどこかに残存が生じます。

また、横断的バックドアの設置には、攻撃者がサーバー内を自由に移動できるほどの高い権限を既に取得していることが前提となります。これは感染がサーバーの管理レベルにまで及んでいることを意味し、ファイルの修正だけでは解決できない可能性もあります。最悪の場合、サーバーの完全初期化と全サイトのクリーンな再構築が必要になるケースも存在します。

▶ 専門家に依頼すると:サーバー全体を対象とした横断的バックドアの探索・特定、分散設置されたバックドアの連鎖関係の解明と根絶、サーバー権限レベルでの侵害範囲の評価、必要に応じたサーバー再構築の判断と対応を行います。

この記事のまとめ

同一サーバー上での感染拡大は、以下の3つのメカニズムによって引き起こされます。

  1. クロスサイト感染・共有ユーザー権限:1つのサイトへの侵入がサーバー内の全サイトへのアクセス権を攻撃者に与える
  2. 同一FTP利用・マルチドメイン汚染:管理の一元化が感染の一括拡大を招き、最も脆弱なサイトが全体の弱点になる
  3. 横断的バックドア:複数サイトに分散設置された相互依存型のバックドアがサーバー全体の支配を継続させる

これらの問題が示す本質的な教訓は、「WordPressのマルウェア対応は、感染が確認されたサイト単体ではなく、同一サーバー上のすべてのサイトを対象として実施しなければならない」という点です。1つのサイトだけをクリーンアップして復旧させても、同じサーバー内の別サイトに残った汚染から即座に再感染が発生します。

この原則を理解せずに対応を続けることが、「何度修復しても再感染する」という悪循環の正体です。

同一サーバー内の複数サイトに及ぶ感染対応は、単一サイトのクリーンアップとは根本的に異なる調査設計と対応範囲が必要です。サーバー全体を俯瞰した感染範囲の特定、横断的バックドアの探索、ドメイン・権限の分離設計まで含めた包括的な対応は、この分野に精通したWordPressセキュリティの専門家でなければ確実に行うことはできません。

「1つ直したら別のサイトが感染した」「修復してもすぐ再感染する」という状況が続いているならば、それはサーバー全体への横断的な対応が必要なサインです。一刻も早く専門家への相談を検討してください。

同サーバ内別ドメイン感染 語彙辞典

同サーバ内別ドメイン感染 語彙辞典

本辞典は、1つのレンタルサーバー契約(マルチドメイン環境)で複数のサイトを運営しており、1つのサイトのマルウェア感染が同じサーバー内の別サイトにまで飛び火してしまった方(同サーバ内別ドメイン感染)のための必須キーワード集です。

■ 1. マルチドメイン環境(Multi-Domain Environment)

1つのサーバー契約(同じアカウント)の中に、複数の異なるドメイン(Webサイト)を同居させて運用している状態。コストは抑えられますが、セキュリティ上の連帯責任が生じる環境です。

■ 2. 横展開感染(Cross-Site Contamination / 横移動)

同じサーバー内にある1つのサイトが突破された際、攻撃者(またはマルウェア)がサーバーの内部構造を伝って、隣にある別のWebサイト(別ドメインのフォルダ)へ次々と感染を広げる現象。

■ 3. ドキュメントルート(Document Root)

それぞれのWebサイトのファイルが配置されている「最上階のフォルダ」。マルチドメイン環境では、このドキュメントルートが並列、あるいは親子関係(階層構造)になっているため、マルウェアの標的になります。

■ 4. 親フォルダ(Upper Directory / 上位ディレクトリ)

あるWebサイトから見て、さらに1つ上の階層にあるフォルダ。WordPressのセキュリティ設定(.htaccessなど)は下位のフォルダにしか効かないことが多く、上階から侵入されると防げません。

■ 5. ディレクトリトラバーサル(Directory Traversal / 階層移動)

プログラムの弱点を突き、本来アクセスできないはずの「管理区域外のフォルダ」や「隣のサイトのフォルダ」を覗き見たり、ファイルを設置したりする攻撃手口。

■ 6. 共用サーバー(Shared Hosting)

複数の契約者(他人のサイト)で1台のサーバーを分け合って使う仕組み。基本的には他人のサイトから感染することはありませんが、自分自身のマルチドメイン設定に不備があると、自分のサイト同士で感染を広げてしまいます。

■ 7. サーバーアカウント(Server Account)

レンタルサーバーにログインするための大元の権利。このアカウントが持つ権限が強すぎる(隣のサイトのファイルを自由に読み書きできる状態になっている)ことが、別ドメイン感染を引き起こす根本原因です。

■ 8. 全サイト一斉調査(All-Sites Audit)

一部のサイトだけが停止している状態であっても、同じサーバー内にある「すべてのサイト」を同時に検査すること。これを行わないと、未調査のサイトに隠れたマルウェアが原因で、何度でも再発します。

■ 9. フォルダの物理分離(Account Isolation / 隔離分割)

これ以上の被害連鎖を防ぐため、または今後の安全のために、Webサイトごとにサーバーの契約(アカウント)自体を完全に別物へと切り離し、物理的に交わらないようにする対策。

■ 10. シンボリックリンク(Symbolic Link / ショートカット悪用)

ファイルやフォルダへの「近道」を作る仕組み。マルウェアがこれを使って隣のサイトへの秘密の通り道を作り、セキュリティチェックの網を掻い潜って別のドメインを改ざんする手口があります。

「Aというサイトだけを直したのに、翌朝にはまたマルウェアが復活している」という場合、原因は隣のBというサイトにあります。同じサーバーに複数のWordPressを入れているなら、被害の有無に関わらず「すべて一斉に隔離・治療する」のが鉄則です。

お問い合わせはこちら

サービスに関するご相談・お見積りなど、お気軽にお問い合わせください。

お問い合わせフォームへ