セキュリティ調査報告

suadd.com ハッキング調査報告書

対象: https://suadd.com/(WordPressブログ) / 調査日: 2026年7月4日
調査対象データ: レンタルサーバ(ロリポップ)からダウンロードしたサイトファイル一式

1ひとことで言うと

あなたのサイトは何者かに乗っ取られ、悪意あるプログラムが複数仕込まれていました。 攻撃者は主に2つのことをしていました。

① 検索エンジンをだまして「賭博サイトの宣伝」に悪用
Googleのロボットが来たときだけ、あなたのサイトを海外のオンライン賭博(違法ギャンブル)の宣伝ページにすり替えて見せていました。日本の一般の訪問者には、いつも通りのブログが表示されるため、気づきにくい仕掛けです。
② 訪問者の暗号資産(仮想通貨)を狙う罠
すり替えたページには、訪問者の暗号資産ウォレットから資産を抜き取ろうとする不正スクリプトが埋め込まれていました。

さらに、攻撃者がサーバを自由に操作するための「裏口(バックドア)」が複数設置されていました。これがある限り、掃除をしても再び感染する恐れがあります。

現在の状況
サイトはすでに復旧済みです。本報告書は「何が起きたか」「どんな被害が想定されるか」を整理し、再発を防ぐための記録です。

2どんな被害が想定されるか

🔎
検索順位・サイト評価の低下

Googleに「賭博スパムサイト」と判定されると、検索結果からの除外や警告表示の対象になります。長年積み上げたサイトの信用が下がる恐れがあります。

💸
訪問者の金銭被害

暗号資産ウォレットを使う訪問者が、すり替えページで資産を盗まれた可能性があります(主に検索エンジン経由でアクセスした人が対象)。

🚪
サーバの継続的な乗っ取り

裏口が残っていると、攻撃者はいつでも侵入し直せます。他のサイトへの攻撃の踏み台にされるリスクもあります。

🔑
情報・パスワードの漏洩

サーバ内のファイルやデータベースを覗ける状態だったため、管理者情報やFTP・DBのパスワードが盗まれた前提で対処する必要があります。

補足:訪問者への直接被害は限定的だった可能性
賭博ページと暗号資産の罠は「Googleのロボット向け」に表示される作りが中心で、日本語の通常ページ(本来のブログ)はそのまま表示されていました。そのため、一般の閲覧者が直接だまされた範囲は限定的だった可能性がありますが、断定はできません。

3手口の仕組み(かんたん図解)

攻撃者は「誰が見に来たか」で表示を切り替えるクローキングという手口を使っていました。

🤖 Google の検索ロボットが来たとき
→ 賭博サイトの宣伝ページ(default.php)+暗号資産を狙う罠を表示
→ Googleに「このサイトは賭博コンテンツ」と覚え込ませ、検索結果を乗っ取る狙い
🧑 あなたや一般の訪問者が来たとき
→ 本来のブログ(index2.php)を表示
→ 「普通に動いている」ように見せかけ、発覚を遅らせる狙い

あわせて、攻撃者は自分のGoogle Search Consoleにあなたのサイトを勝手に登録しようとした痕跡(確認用ファイル5個)や、賭博ページを検索に載せるための偽サイトマップも残していました。

4いつ起きたか

不正ファイルの作成日時から、侵入と改ざんは2026年6月28日〜7月1日に集中していました。

5見つかった不正ファイル

専門的な名前が並びますが、役割は「サーバを操る道具」「訪問者をだます罠」の2種類に大別できます。

ファイル役割(かんたんに言うと)危険度
default.php賭博サイトの宣伝+暗号資産を盗む罠(すり替え表示の中身)
index.php「誰が来たか」で表示を切り替える司令塔
…/tinymce/utils/cvs.phpサーバを自由に操作する裏口(コマンド実行・ファイル操作)
…/lists/error_log.phpパスワード付きの不正な管理画面(ファイル改ざん用の裏口)
…/lists/anesongalfa.php外部から追加の不正プログラムを呼び込むダウンローダー
…/lists/bypass_ssi.shtmlPHPが無効でも動く別方式の裏口
google〇〇.html(5個)攻撃者がサイト所有権を乗っ取るための確認ファイル
sitemap-adinda.xml / robots.txt賭博ページを検索に載せるための偽サイトマップと誘導設定

※ これらの裏口は、WordPress標準フォルダ(wp-includes/js/tinymce/=本来PHPプログラムがほぼ無い場所)に紛れ込ませてあり、発見を遅らせる工夫がされていました。

侵入経路の推定
確定はできませんが、プラグイン・テーマなどの脆弱性、またはFTP・管理画面のパスワード漏洩のいずれかが有力です。まず1つ裏口を作り、そこから他の道具を次々展開する多段構成でした。

6やるべきこと(要点)

「掃除」だけでは裏口が残って再感染します。隔離 → パスワード全変更 → クリーンに作り直し → 再発防止の順で進めるのが鉄則です。

  1. パスワードを全部変える:ロリポップ本体・FTP・WordPress管理者・データベース。あわせてログイン用の「認証キー」も再発行し、盗まれたログイン情報を無効化します。
  2. 不正ファイルを削除:上記の裏口・すり替えページ・偽サイトマップ・Google確認ファイルをすべて除去し、robots.txtを正常な内容に戻します。
  3. WordPressをクリーンに作り直す:目視の駆除だけに頼らず、公式の正規ファイルで本体・テーマ・プラグインを入れ直します。可能なら6月28日より前のバックアップから復元するのが最も確実です。
  4. Google対応:Search Consoleを自分のアカウントで確認し、攻撃者が登録した所有者がいれば削除。クリーン後に「再審査リクエスト」を送ります。
  5. 再発防止:本体・プラグインを常に最新に保つ、未使用の古いプログラムを削除、FTPはSFTPに、ログイン2要素認証と自動バックアップを有効化。
📄 詳しい手順書があります
具体的なコマンドや削除対象の一覧は、以下の手順書にまとまっています。

本報告書は、サーバからダウンロード済みのファイルを解析した結果に基づきます。サーバ上には解析対象に含まれない追加ファイルや、データベース内の改ざんが残っている可能性があります。最終的な安全確認は、サーバ実機での点検と全体スキャンをもって行ってください。