サイトのキーが盗まれた?

サイトのキーが盗まれた?

2021-12-10

2021年12月10日(ashi-jp.com/3rd/より転載)

またもやサイトに異変が発生しまして、その対策に追われています。ブログを書くよりもサイト異変の相手をしている方が長いですが、未だ解決には至らず、まずはその状況を公開することにしました。被害サイトは「ashi-jp.com」です。外見上は全く異常はないのですが、内部が浸食されており、サイト編集には不可欠なパスワードが不明者によって完全にブロックされた状態です。タイトルはその状況をを手短に表現したものです。

不明のカテゴリー発見

12月7日にtwitterとfacebookで以下のようなお知らせをしましたが、異変が発生したのは「葦の葉ブログ2nd」です。

  古いサイトの「葦の葉ブログ2nd」に不可解事が発生しておりまして、あれこれ対策を取っているところですが、その過程で一時、サイトが表示されないこともありました。今後も同様の事態が発生するかもしれませんので、お知らせします。

サイトが表示されなくなったのは、わたしが手を加えた結果ですが、こちらは間もなく解消しました。しかしそもそも今回の異変は、外部からは全く気がつかない異変でした。

突如蘇ったアクセスカウンターに遭遇して以来、2nd 」と「3rd」を合体させるべきかどうか、合体させる場合はどんな形にすればいいかなど、あれこれ迷っていました。

先日も思案しながら「2nd 」の管理画面を見ていたところ、カテゴリー一覧に「商品」というカテゴリーが2種登録されていることに気がつきました。もちろん、「葦の葉ブログ」には全く無縁のカテゴリーです。しかもよく見ると、それぞれの「商品」カテゴリーにはサブカテゴリーが3種も付属していました。

「3rd」を作る前の「葦の葉ブログ」一本の時は、もちろんこんなカテゴリーは存在していません。こちらの更新が途絶えて、管理画面に全く入らなくなったここ2ヶ月ほどの間に、誰かが管理画面に入り、勝手にこれらのカテゴリーを挿入したらしい。

管理画面に堂々と侵入し、その痕跡が残さているという想像もしなかった異変を目にして大驚愕。思わずこれらの「商品」カテゴリーを全て削除してしまいました。

しかし後になってこれらの商品カテゴリーのリンク先を調べるべきだったと後悔しました。「葦の葉ブログ」内にはこれらのカテゴリーとリンクするものは皆無です。いったい何がこれらの「商品」カテゴリーの対象になっているのか。管理画面に何か痕跡が残っていないかと思い、翌日管理画面に入ろうとしたところ、突如、入れなくなりました。

IDとパスワードを確認して、間違っていないことを何度も確認して入力してもダメでした。そこでパスワードを再発行して、再発行されたパスワードをコピペして入力してもダメ。手入力してもダメ。ChromeとEdgeのキャッシュを全て削除して新しいパスワードを入力してもダメでした。やむなく再度パスワードを再々発行しましたが、結果は同じ。これを3,4度繰り返しましたが、結果は同じ。

幸いデータベースには入れましたので、データベースでパスワードを変更しましたが、こちらもダメでした。データベースでも何度も試みましたが、結果は同じ。何度も繰り返しているうちに、ログインページが開きました。やっと!と喜んだのも束の間。WordPressのログイン画面に入ることはできましたが、肝心の管理画面(ブログの作成や編集、サイト管理をする重要なWEB上の作業場所)には入れません。

WordPressを使ったことのない方には、何のことかお分かりにはならないと思いますが、ログイン直後の画像を使ってご説明します。

「ashi-jp.com」の管理画面にログインした時のページ表示

通常はログインすると即管理画面が開くのですが、異変発生後は管理画面には到達できません。また通常は、上部の黒い帯メニューが表示されると、WordPress.orgへのリンクと並んで管理画面に入るリンクも表示されるのですが、表示されているのはWordPress.orgへのリンクのみです。

そこであらためて管理画面のURLを入れると、このページにアクセスする権限がありませんとの、以下のようなメッセージが出ます。

「ashi-jp.com」の管理画面URLのページ表示

「権限がない」ということは、入力した既定のURL上に管理画面は消えずに存在しているらしいことは分かりましたが、ログインできたにもかかわらず、管理画面には入れないとは通常はありえぬ異常事態です。

さくらインターネットの管理下のサーバーやデータベースにはアクセスできますので、サーバー内のファイルの権限設定(ファイルの管理や編集権限の有無)も確認しましたが、こちらは問題はありません。

やむなくログイン画面に表示されている WordPress.org フォーラムに相談することにしました。以前相談しようとしたところ、名前が勝手に変えられるという異変に遭ってますので余り気が進まなかったのですが、ネットで検索しても類似例は皆無。もうこのフォーラム以外には相談相手はありません。

やむなく新規にフォーラムに登録したところ、わたしの名前が「久本福子(ひさもと よしこ)」とふりがな付きで正しく表示されていました。ローマ字名で登録したのですが、漢字、ふりがな付きで名前が表示されていました!?

そこで、投稿欄から状況を説明して対処法を質問しましたところ、翌日、WordPress.org内の解説ページへのリンクを記した回答が届きました。すでに何度も試みたデータベースを使ったログイン法です。WordPress.orgへとつながる画面にログインはできても、管理画面には入れないと書いたのですが、おそらく他に例がないからか、質問の内容が伝わらなかったみたいです。

管理画面が完全にブロック

やむなく自分で再度挑戦することにしました。このレアな異変は、データベースのユーザー権限を操作すれば解決できるのだろうと推測してますが、うかつに操作するのは危険ですので、まだそこまでは手を出していません。

そこで、2ndのデータを移して、「2nd」のコピーサイトを作ることにしました。さくらのサーバーとデータベースには入れますので、こちらにあるデータを使って、臨時の「葦の葉ブログ」のサイトを作ることにしました。

サーバーからファイルを移して作成すると、作りたてホヤホヤの新規サイトでも、管理画面には入れないという異変が続きます。既存サイト同様に「このページにアクセスする権限がありません」との表示が出て管理画面には入れません。これはサブディレクトリとサブドメイン両形式で試してみましたが、結果は同じです。

そこで既存サイトのデータを入れていない空の新規のWPサイトを作ったところ、こちらには入ることはできました。これなら大丈夫かもしれないと思い、「ashi-jp.com(「2nd」)」のデータベースをインポートしたところ、インポートがなかなか終わらず、途中で止まってしまいました。

どんな方法を使っても、「ashi-jp.com(「2nd」)」のデータをそっくりそのまま移転していますので、管理画面に入れないという、同じ結果になるのはある意味当然かもしれません。

しかし諦めず最後の手段とばかり、さくらインターネットに設置されているステージングという機能を使うことにしました。公開済みサイトのコピーサイトを、いとも簡単に作成することにできる非常に便利な機能です。しかも仮のコピーサイトに手を入れて修正したものを、本番サイトに瞬間移動できるという超便利機能です。

本番そのものではないものの、本来ならばこのステージングサイトの管理画面にも入ることができるのですが、「2nd」に関しては、ステージング用の仮のURL上にある管理画面にも入ることはできませんでした。

ステージングサイト用のユーザー名とパスワードが自動的に付番されるのですが、管理画面のゲート画面にこのユーザー名とパスワードを入力すると、以下の画像のような、全く別のユーザー名とパスワードとが表示されて、中に入れません。

ステージングサイト内の管理画面へのログイン時に表示された第三者のユーザー名とパスワード(現在も利用中ですので、URL等、画像の一部を消去しております。)

このステージングを使ったもう一つの方法も試みたのですが、こちらもダメでした。「3rdには入れますので、狙われているのは「2nd」(ashi-jp.com)のサイトだけのようです。

実はGoogleでは、「ashi-jp.com/3rd/」のようなサブディレクトリサイトは独立したサイトとは認めておらず、あくまでも親ドメインである「ashi-jp.com」を検索や解析対象にしているらしいことを知りました。

古いデータを抱える「ashi-jp.com」から切り離して、テーマもすっきりした「yStanndard」に変えたのを機に、Ggoogle広告(Adsense)を貼ろうかと思い、まずGoogleAnalyticsに再登録しました。今度こそは正しくカウントしてくれるだろうとの期待を持ってashi-jp.com/3rd/を「葦の葉ブログ」のURLとして登録しました。

しかしこの期待は完全にはずれ。全くカウントしません。Googleに関していろんな経過をたどって分かったことは、Googleは、「ashi-jp.com/3rd/」という付属型(ディレクトリ型)アドレスの場合は、付属のURL(「/3rd/」)は単独のサイトとしては認めず、親である「ashi-jp.com」に全てを代表させるという仕組みになっているらしいということでした。

しかし親サイト「ashi-jp.com」は9月14日以降更新はありませんので、アクセス数は激減しているはずですので、Googleでカウントされないのはある意味当然だと思っていましたが、 突如蘇ったアクセスカウンター 以降は、Googleはなぜカウントしないのかとの疑問新たなり。サイトアドレスとしては、「ashi-jp.com/3rrd/」も「old.ashi-jp.com」も登録していますが、登録して数日経っても、0ではないもののどのアドレスもほとんどカウントされません。

親サイト「ashi-jp.com」が代表になっているのでカウントされないのかもしれないと思い、親サイトを停止し、「ashi-jp.com/3rrd/」のみを登録しました。するとGoogle Analyticsそのものの動きが完全に停止してしまいました。ちょうどアカウント停止状態のような感じです。おそらく親サイトを停止させたので、サイト非登録状態になったのだろうと思います。

親ドメインに代表させるという仕組みは、勝手にサブドメインが使われるという不正防止には強力な力を発揮するはずですので、大局的に見るならば、Googleのこの仕組みは歓迎すべきものかもしれません。

「/3rd/」はページ数も少ないこともあって乗っ取られずに、本体のashi-jp.com」が乗っ取られ状態にあるのも、おそらくこのGoogleの仕組みとも関係しているのかもしれません。

不明の「商品」カテゴリー発見後は、長期留守宅のようなサイトの放置は危険であることを思い知らされました。加えて、Googleの親ドメインしか認めないらしい方針もあり、やはり 「ashi-jp.com」 をメインにしたサイトにすべきだと考えを改めましたが、肝心の 「ashi-jp.com」には入れない状況ですので困っています。

目下の最大の問題は、「ashi-jp.com」がどこの誰か分からぬ人に勝手に利用されており、このサイトの所有者であるわたしが、管理画面に入れないということです。この異常事態が解消されなければ何もできません。

不正ログインされてサイトが改竄されるというような例はよく知られていますが、当サイトのように、サイトは全く改竄されず、サイトにパラサイトされたり、乗っ取られたたりするケースは余り例はないはずです。

この異例の事態に遭遇して、他人のドメインにパラサイトするというそのきっかけを作ったGMO(=お名前.com)への怒りを新たにしています。ドメインは検索で同一使用例がなければ使用できますが、 お名前.com は、「○○.ashi-jp.com」 「××.ashi-jp.com」 「▲▲.ashi-jp.com」 などの葦のサブドメインをズラッと並べて「人気のドメイン!」と銘打って堂々と積極販売していました。

当初わたしは無知ゆえに、そんなに人気なのかと喜んでいたぐらいですが、このサブドメインが当サイトへのパラサイト者を増産していたことを知り、喜びは怒りに転じました。これらのパラサイトたちは、例えば、「www7.ashi-jp.com」のドメインを使うだけではなく、「ashi-jp.com」本体サイトのURLまでサイトのど真ん中に記載するという悪質な連中でした。

親ドメインしか認めないというGoogleの方針が満遍なく適用されるならば、この種のパラサイトたちは駆逐されるはずですが、パラサイトで稼ぐ旨味を知った連中は、その手法を変えながら技術的には無知な優良サイトにパラサイトしようとしています。その一例が今回の当サイトのパラサイトだろうと思います。

ドメイン管理を委託していたGMOの悪事の数々は、以下の「葦の葉ブログ」内の、GMO関連記事リストをご覧ください。
GMOの悪事の数々

しかし今の世の中は悪人ほど栄えるのか、GMOはFXなどのネット証券事業で大儲けしているようです。FXなどは、コンピュータの操作力が儲けに直結しますので、得意技で大儲けをしている模様です。サーバー管理会社が証券業を兼業している例は他にはないはずです。サーバーは情報の塊。

GMOがわたしのドメイン「ashi-jp.com」の不正利用に荷担してきた結果、不法な輩がわたしのドメインやサイトに貼りついて離れません。GMOへの怒りを新たにしているゆえんです。

余りにも異例なケースですので、質問フォームからの質問だけでは状況を伝えることが難しく、 管理画面に入れる「ashi-jp.com/3rd/」に 公開した上で、対処法のご教示をお願いすることにいたしました。

なお当サイトのヘッダー画像の背景を白から薄い紫系に変えました。サイト統合の試みですが、まだ決定したわけではありません。どう変えるかは、目下思案途上にあります。

Translate »