新型コロナウイルス感染症『COVID-19』がパンデミックを引き起こし世界中が大混乱にある中、インターネットの世界でも密かにウイルスが感染拡大を続け、看過できない状況になりつつありましたのでその症例を観測し続けた記録を紹介したいと思います。

公開日時:2021/04/27 23:27 最終更新:2021/06/09 22:15   暗黒大陸長野
Wordpress ウイルス ビジターアンケート マルウェア ラッキービジター ワードプレス 詐欺 長野

新型コロナウイルス感染症『COVID-19』で世界中が大混乱する中、コンピュータウイルス『ラッキービジター』も猛威を振るいまくっていた話

TL;DR

※TL;DRとは(Too Long, Don't Read.『長すぎるから読まないよ』転じて『要約です』の略語だそうです)

こんにちは。みなさんも少なからず新型コロナウイルス感染症『COVID-19』で不自由な生活を送られている事と思います。中国武漢からの帰国者の方により昨年2020年の1月15日に日本で初めての感染症例として認められて以来、既に1年3ヶ月が経ちます。

県境を超えた移動の自粛要請、初めての緊急事態宣言。この頃はまだ安倍さんが総理大臣でした。

第1波で萎縮した経済活動を呼び起こすために政府により『GoTo キャンペーン』が企画され、2020年7月からそのうちの1つである『GoToトラベル』が施行されそれなりに成果を上げ始めていました。

ですが、2020年11月から第3波と呼ばれるこれまでとは比較にならない程の感染拡大が起き、12月に入ってもそれは衰えず、結果として12月28日を以って『GoToトラベル』は一時凍結されて現在に至ります。

第3波は年が開けてから一旦は終息する気配を見せたものの、2021年3月に入ってから第4波となる感染者数の著しい増加が起こり始め、現在はその第4波の真っ只中です。それまでは比較的罹患しにくかった若年層にも感染しやすいとされるブラジル変異株の出現によって、更に予断を許さない状況になりつつあります。

新型コロナウイルス感染症(COVID-19)統計情報(日本)

新型コロナウイルス 日本 - Google 検索

ウイルス感染拡大しているのは人間だけではなかった

ところで、『COVID-19』を引き起こす新型コロナウイルス『SARS-CoV-2』がこれほどまでに世間的に認知されるようになる前、みなさんが『ウイルス』と聞いて最初に思い浮かべるのは何だったでしょうか?

インフルエンザウイルスか、ノロウイルスあたりかもしれませんね。

わたしの場合はコンピュータ技術者であるため、悪意ある不正ソフトウェアであるコンピュータウイルスが一番身近でした。『マルウェア』とも呼ばれます。気づかない内にパソコン内で実行され、利用者の望んでいない動作をします。そうして、その不正ソフトウェア自身を複製して別のパソコンへと感染を広げる物をコンピュータウイルスと呼びます。

このうちの一つ『ラッキービジター』が、割としゃれにならないくらいに悪質なウイルスだという事は、あまり知られていないようです。

わたしは全くの偶然でこのコンピュータウイルスについて調査をする事になり、その流れで、ウイルス感染したサイト2つを4ヶ月程の期間に渡って観測し続けました。その観測の過程で『これは、笑い事じゃないな』と驚かされる事ばかりでしたので、その経過をレポートとして残したいと思います。

発端

わたしがこのこのウイルス『ラッキービジター』について調査をするきっかけとなったのは、2020年11月26日、私が在籍している会社のグループウェアのスケジュールで、何気なく翌日の社長の予定を確認した事です。その予定表では、長野市のとある企業の会長さんとラジオ番組の打合せを行う事になっていました。

それで『どんな会社さんだろう?』と気になり(日常的な調査です)、何気なくGoogle検索してその企業のWEBサイトを開きました。途端に、これが表示されました。

調査の発端となったラッキービジター感染例

※画像は、この記事を書くために後日キャプチャした物です。

思わず吹き出してしまいました。というのも、このウイルス自体は何年も前から存在していて、比較的有名な物であったからです。

あまり詳しく調べた事は無かったのですが、概要としてはウイルス感染したサイトを閲覧しようとした人のアクセスを上記画面のような詐欺サイトへと転送(リダイレクトと言います)して、そこでクレジットカード情報などを入力させる詐欺ですね。

2018年頃から流行り始め、

  1. ウイルスに感染したサイトを閲覧しようとした人のアクセスを
  2. 海外にある詐欺サイトへとリダイレクトして偽アンケート画面を表示
  3. 『2018年間ビジターアンケート ブラウザー意見アンケート』
  4. 『おめでとうございます! 2018年間ビジターアンケートの参加者に選ばれました!』
  5. Apple iPhone 7 が当たるチャンスを差し上げます!』のようなメッセージで閲覧者を射幸心で煽りつつ
  6. 大嘘のアンケートに答えさせた後
  7. クレジットカード情報等を入力させて盗み取る

というマルウェアです。(※当時の呼称はラッキービジターでは無かったようですね。)

アンケート対象となるブラウザは閲覧者のブラウザを識別して動的に変更しますし、Androidでアクセスしている場合はiPhoneではなくAndroidが当たるチャンスになる仕様だったように記憶しています。

基本的には詐欺サイトへリダイレクトさせるだけなので、そこで何か入力しなければ何も起こらず、ただ『開いたブラウザのタブを閉じればよいだけ』というウイルスの筈でした。

ですからわたしはタブを閉じ、サイトが確かに感染している事を再確認するためにもう一度Google検索から同じリンクをクリックしてその企業のWEBサイトを閲覧しました。

『ん?』

正常に表示されたWEBサイト

今度は正規のサイトが表示されました。(※風評被害が出ないようにサイト画像を加工しています)

わたしの専門がWEBプログラミングなので、職業人として『これはどういう事なのだろう?』と好奇心が湧いてきます。そこで、このウイルス『ラッキービジター』についてわたしの会社の取締役に報告をしつつ、調査を開始しました。

Wordpressに感染するウイルス

ある程度予測はしていたのですが、最初に分かってきたのは、このウイルスは世界で最も利用されているWEBアプリケーションであるWordpressの脆弱性を狙って感染を広げるWordpress専用のウイルスであるらしい、という事でした。

Wordpressはその簡単さと利便性から主に非エンジニアの人達の間で世界中で使われており、非常に悪い事にWordpressはオープンソースといってプログラムコードが誰でも入手できる為欠陥を見つけるのは非常に簡単で、『ウイルスを作って金を騙し取ろう』と考えるような悪人にとっては良い鴨、恰好の餌食と言っても良いアプリケーションです。

また、Wordpressはそもそものプログラムコードの作りが古臭くコード品質も低い為、まともなエンジニアは絶対に触りたくないアプリケーションの一つです。こんな物を365日24時間、世界中のどこからでもアクセスできるシステムとして稼働させている人達の気がしれません。

Wordpressは、そもそもがその名の示すとおりブログを簡単に公開する為の手段として開発されました。ですから、単純にブログシステムとして利用するだけで良かったのなら、Wordpressは比較的優秀なアプリケーションでした。

それが技術力の無いWEB制作会社の目に留まり、システム開発の知識が無くとも動的なWEBサイトを簡単に作れるという理由で世界中で広まりました。その姿勢の是非について問い正したい所は少なからずありますが、とにかく顧客に安く動的サイトを提供できるのは非常に魅力的であったようです。

ウイルスによりリダイレクトされるのは最初のアクセス時だけ

そして次に分かったのは、ウイルスによって詐欺サイトへとリダイレクトされるのは、最初のアクセスの時だけらしいという事です。

どうやらウイルス自身がデータベース機能を備えているらしく、閲覧者の情報、恐らくはリモートホストのIPアドレスとブラウザ情報等を記録し、同一人物と思われるアクセスについてはリダイレクトせず正規のWEBサイトを表示するという仕様のようでした。

ですから、同じ組織内で誰かが一度アクセスしていれば、当然同一リモートホストを使ってアクスしているであろう他のアクセスについてもリダイレクトは起こらず、正規のサイトが表示される事になります。

これは、WEBサイト管理者にウイルス感染している事を気づかせない為の偽装工作のようです。つまり、普段頻繁にアクセスしている筈の企業の中の人達、あるいは管理しているであろうWEB制作会社の人間は、実際にリダイレクトされる現象を現認出来ない為に、仮に閲覧者から『おかしな画面が表示された』という相談があっても『きっと、お客様が何か勘違いしたのであろう』と誤解して対処が遅れる事を狙っているのだと思われます。非常に巧妙です。

感染経路はSEOキーワードでのWEB検索上位サイト

このウイルスは手始めに、WEB検索エンジンを使って感染を試みるサイトを探すようですが、その際に用いるのは『頻繁に検索されるキーワード』つまりSEOキーワードと呼ばれる物であるようです。

沢山の人が検索するキーワードで検索した結果に上位表示されるWEBサイトというのは沢山の人が訪れるサイトなので、リダイレクトされてくる見込み被害者数も当然多い筈であり、母集団が大きくなるので結果として詐欺に引っ掛かる人も必然的に多くなるという図式です。極めて巧妙です。

検索結果として上位表示されたサイトがWordpressを使っているかどうかは考慮しなくて構いません。スクリプト等を書いて全自動で片っ端から手当たり次第に感染を試みます。

WEBサイト運営をしているとWEBサーバのアクセスログに結構な数の奇妙なリクエストが記録されているのを見る事になりますが、あれはこうした理由です。

ナンパと同じで『拒否されるのが当たり前、受け入れてもらったらラッキー』みたいなところを、一切人力を使わずにコンピュータに自動でやらせています。悪人は基本的に寝て待つだけです。

例えば、これはわたしのこのサイトのアクセスログですが、しょっちゅうこんな感じでWordpressサイトであるかどうかを調べる為のリクエストが来ています。

不正アクセス1

この不正アクセスを行っているovh.caはトップレベルドメインが.caなのでカナダですが、ドメイン管理会社はアメリカのオレゴン州シャーウッドにあるporkbun.com | An oddly satisfying experience.で、安価でドメインやホスティングを提供するアメリカ版ロリポップみたいな会社のようです。

porkbun社

不正アクセス2

2枚目の画像の上のアクセスはおそらく手動によってSQLインジェクション脆弱性が存在しないか確認しているリクエストですね。

IPアドレスをWhoisで調べてみるとMicrosoft Corporation (MSFT)らしいですが、恐らくは、よく知られているMicrosoft社とは違うでしょう。

レセプターはWordpressのXML-RPCらしい

Wordpressには、外部から直接Wordpress本体と通信を行うためにXML-RPCという仕組みが備わっています。つまり、Wordpressにログインして管理画面上で操作したり、あるいはサーバにログインしてファイル操作を行ったりといった事をせずに外部からWordpressを操作出来る仕組みです。

WordPressのxmlrpc.php詳細ガイド(xmlrpc.phpとは、セキュリティリスク、無効にする方法)

もう、聞いているだけで危険な仕組みで、やはり、ラッキービジターはこれを利用して感染するようです。

昔のWordpressでは管理画面上でこの機能を無効にも出来たようですが、無効にすると動作しないプラグイン等があるらしく、闇雲に無効にしてしまえば良いという訳でも無いようです。また、何も知らない人が初期状態でWordpressを導入するとこの機能は有効となっているようです。

そして、現在のWordpressではそもそも、無効にする事が出来ないようです。

このため、この機能を無効にするためにはWEBサーバの設定ファイルで機能を提供しているxmlrpc.phpへの外部からのアクセス自体を拒否する必要があるようです。(※前述のようにWordpressは触りたくないため、現在どうなっているかはよく知りません)

『非エンジニアでもWEBサイトが簡単に作れる』という事を売りにしているアプリケーションで、WEBサーバの設定ファイルに詳しい人なんているんでしょうか? 本当に謎のアプリケーションです。

1つのサイトが感染すると、同一サーバ内にある他のWordpressにクラスター感染する

更に恐ろしい事が分かってきます。

このウイルスは、1つのWordpressサイトが感染すると、同じサーバ上で稼働しているWordpressを見つけて、手当たり次第に感染を試みるようです。もはや、極悪と言えます。

リダイレクト先は頻繁に変わる

そして、肝心の詐欺サイトであるラッキービジター・アンケート画面のドメインは複数存在します。

また、同じサイト経由でリダイレクトされる先もしょっちゅう変わります。追跡と特定を回避するのが狙いでしょうね。

リダイレクト自体もいくつものサーバを経由させるようで、そもそもが全て同一犯による犯行では無い可能性の方が高く、ドメイン名でフィルタをしたとしてもイタチごっことなるでしょう。

ウイルスの詳細と対処法を管理職に報告し、一旦調査終了

以上のような事を取締役に報告、『ラジオ番組の打合せの際に、出来るだけ事を荒立てないように会長さんにそっと伝えて下さい』と伝言して、調査を終えました。

事を荒立ててしまうと必ず現場の人、場合によっては管理を行っているWEB制作会社の担当者が地獄を見る事になる為、人知れず闇に葬ってもらうのが狙いでした。

ですがこの後、予想もしなかった事態へと発展していきます。

2ヶ月以上経っても、ウイルスは除去されていなかった!

それからわたしの方で目まぐるしく様々な事が起こり続け、その企業のラッキービジター・ウイルスについては完全に失念していました。

ですが、2020年12月末に1回、2021年の1月後半になってからもう1回『あそこ、どうなっただろう?』とふと気になりGoogle検索してアクセスしてみました。

また、リダイレクトされました。

ある程度予想はしていましたが、流石にため息が出ました。悪い方に予想通りだと本当に脱力します。

更にため息が出る事態になります。新型コロナウイルスに興味を持ったわたしが、その2ヶ月の間に訪れた様々な長野市のお店の現状について記事を書こうと思い、長野駅の傍にあるそこそこ有名な商業施設をGoogle検索してアクセスしてみた所、やはりラッキービジターが表示されました

後日のchromeの履歴

これは同サイトの、2021年3月後半のchromeのアクセス履歴画面です。明らかにリダイレクトされていますね。(※そして3月28日の履歴です。もう、この後どうなるかが予測可能ですね?)

このそこそこ有名な商業施設、長野では別の意味で有名でかなり問題のある会社名が冠として付いています。

おそらくはその商業施設を買ったのではないかと思うのですが、この会社、昔からあちこちのビルの屋上など目立つところにある看板に“広告として”大々的に会社ロゴを出して『あたかもそのビルが自分の会社のビルであるかのように錯覚させる』という手法を使っている会社なので、あるいは勝手に名乗っているだけである可能性も捨てきれません。

そこそこ有名な商業施設の正規サイト

(※風評被害を避けるため画像は加工してありますが、長野の人だと何となく分かりますね。)

ウイルスが強毒化していた

まぁ、そういう感じの会社なので『どうせWEBの仕組みについて何もしらない経営層が“Wordpressなら簡単だろ?”みたいな感じで従業員に作らせてメンテナンスしているお手製のサイトなんだろうな』くらいに考え、

『そりゃ、感染するのも無理ないわ』

と思いながらブラウザのタブのクローズボタンをクリックした所、

再度、別の詐欺サイト画面が“新規タブ”で開かれました

え!?

それはもう驚異でした。昔のブラクラが流行した頃の古いブラウザならいざ知らず、現在のWEBの仕組みというのは非常に安全を考えて作られているので、WEBページ内でのイベントはWEBページ内で完結しており、その外側にあるブラウザ本体の操作に干渉する事は出来ない筈でした。

ですが、その商業施設に感染しているラッキービジターがリダイレクトした先にある詐欺サイトは、ブラウザ本体のイベントを捕捉して新たなWEBページを開けるのです。

確かにわたしはWEB専門のエンジニアですが、諸般の事情によりここ1年以上は開発の現場から遠ざかっていた為、恥ずかしながら何が起きたのかすらわかりませんでした。可能性としてはbeforeunloadイベントで新規ページを開いているのだと思いますが、昔わたしが試した時はそれは出来なかったように記憶しているのですが…。

それで、『悪い事をして金儲けしようとする人の自己研鑽は目をみはる物があるな…』とある意味感心しながら、その会社はややこしい会社だから取り敢えずは放って置くとしても、当初の企業さんの方は何とかした方が良さそうだと思い始め、企業サイトにアクセスし直して正常に表示されたWEBサイトに掲載されている電話番号に直接電話を掛ける事にしました。

電話でウイルス感染を報告した所、予想外の返答が返ってきた

初めて電話する企業なので十分敬意を払って電話せねばならず、少々疲れる作業でした。

相手の不備を指摘してあげるだけなので明らかにわたしの方が立場は上ですが、相手企業が悪いわけでは無い可能性の方が高いので相手を責めるような事は出来ません。

電話口に出たのは確か、壮年期といった声色の男性、総務か何かのそれなりの役職の方ではないかと思います。それで、出来るだけ丁寧に事情を説明しました。

お忙しいところすみません。実はわたしの会社が昨年末に御社と関係が出来た時に御社のWEBサイトを確認したところ、ウイルス感染している事に気づきました。それで今日はその事をご連絡しようと思い、こうして電話しました

というような感じで事情を話した所、電話口の男性は、

ええ!? そうなんですか!?

と驚きの声を上げました。

『そりゃ、突然こんな事言われたら驚くわなぁ…』

と思いながら、

それで、その時に対処方を全部調べておいたので、もしよろしければその情報をお知らせしようと思うんですが…

と、完全に善意で情報の提供を申し出始めた所、相手が放った一言が、

いえ、こちらで調べさせるので大丈夫です。

という、予想だにしない物でした。

それで『え!?』っとなったのですが、相手が『自分で調べる』と言っている以上、押し売りではありませんからそれ以上掘り下げる訳にも行きません。

ですから、

ああ、そうですか。では、よろしくお願いします。失礼します。

とだけ言って、電話を切りました。大いに信用なりませんが、まだ相手が何もしていない現状ではそれ以上の事は出来ませんでした。

何よりも問題なのは、想像していた通り、前年2020年11月26日にわたしが私の会社の取締役に報告した情報は、一切相手企業に伝えられていませんでした。既にここに社会の闇を感じざるを得ません。

3月に入っても状況は変わらないどころか、更に悪化する

2月中は新型コロナウイルスに関する調査資料を書いていて、上記2サイトがその後どうなったのかは全く見ていませんでした。

それが、3月の中頃、やっと余裕が出来てきたので状況確認を行います。まずは、最初の企業。

相変わらず感染中のサイト

アクセス履歴

完全に予想通りでした。相変わらず感染しています。

以前と画面が違うのでリダイレクト先が変わったようですね。しかも、最後の勝者はNaganoにいるYamakawa Midoriさん(名前はランダムと思われる)、明らかにわたしのリモートホストのドメイン情報を見て文言を生成しています。完全にプロの詐欺師の手口です。

こちらで調べさせるので大丈夫です』と言った企業ですが、何をどのように調べたのか理解不能です。恐らく、何一つ調べていないでしょう。

それともう一つ、商業施設のサイト。こちらはとんでもない事になっていました。

更に強毒化したラッキービジター

Google検索して問題の商業施設サイトにアクセスした途端、突然、NortonLifeLock 360 premiumが、ポップアップ警告を出しました。

NortonLifeLockの侵入遮断ポップアラート

えー―――――――!?

もう、目が点になります。こんな挙動、今まで一度も見た事がありません。

すぐに『詳細を表示する』をクリックして、遮断の内容を確認しました。

遮断の詳細

(※後日、この記事を書くために同サイトにアクセスして検証した際のキャプチャです。)

この『Malicious Site: Malicious Domain Request 22』の意味は何だろう? という事で、この文字列でGoogle検索を掛けてみました。

Malicious Siteの検索結果

Google検索結果の画面がこれです。

この検索結果上位3番目に表示されている、アクセス済みを示す色が変わっているサイト、何だと思いますか?

ここにアクセスすると、再びリダイレクトされてこの警告が出ます!

NortonLifeLockの侵入遮断ポップアラート

あまりにも綿密に練られた計画的犯行! もはや、蟻地獄!

ちなみに、上記ページのGoogleキャッシュ。(※メジャークローラでは詐欺サイトへのリダイレクトは行わないらしい)

検索結果の正規ページ

検索結果に引っかかりやすいように、SEOを考慮して適切にキーワードを埋め込んでいるようです。敵ながら見事としか言いようのない、何重にも重ねた巧妙な作戦です。

詐欺師、恐るべし!

遮断している攻撃は、一体何をしようとしているのか?

Google検索して色々な記事を読んでみたところ、何らかのファイルをダウンロードさせようとしているのでは? という仮説を立てているサイトがありました。つまり『マルウェアをダウンロードさせようとしている』と考えるのが妥当でしょう。

これを別の何らかの脆弱性を使って実行させてそのPCを感染させるのが狙いであると考えるのが良さそうです。

どんなマルウェアかというと、最近の流行りで一番考えられるのは仮想通貨をマイニングさせるマルウェアだと思います。

わたしはNortonLifeLockが防いでくれていますが、Windows DefenderやあるいはMacintosh等の場合はどうなのか? といった事は、全く分かりません。そら恐ろしいばかりです。(※上記NortonLifeLockの警告でクライアントがMACBOOK-PROとなっているのは、ポリシーとしてMacのBoot CampでWindowsを動かすのがわたしの生きがいだからです。)

事態は更に泥沼化

4月に入り、状況は泥沼化します。

まず、当初の企業WEBサイト、停止しました

4月第2週目に入った頃から、500 Intenal Server Error 画面になりました。

Internal Server Error

(※キャプチャしていなかったので作った再現画像。)

やっとウイルス感染に気づいて対応を始めたようです。わたしが最初に感染を見つけてから実に、4ヶ月以上が経っていました。

4月7日から10日にかけて毎日アクセスしてみましたが、ずっと500 Intenal Server Errorのままです。

もはや、何をしているのかすら分からなくなってくる…。

そして4月15日、進展があります。PHPの致命的エラー情報が表示されるようになりました…。

PHPの致命的エラー画面

Permission deniedというところがもう素人丸出しです。恐らくここをメンテナンスしている人達は、恐らくLinuxであろうサーバOSの事を何一つ知りません。本当に頭が痛くなってきます。

そして4月19日、サイトが稼働し始めますが、相変わらず、リダイレクトされます。それも、今まで見たこともない全く新しい詐欺サイトへ!

更にリダイレクトされた全く新しい詐欺サイト

この詐欺サイト、HTTPSでアクセスさせているのでSSLの証明書情報を見てみました。

SSL証明書

案の定、無料で誰でも取得できるLet's Encriptの証明書です。しかも、証明書発行日は4月16日、つまり3日前です。となると、このサイトのドメインについても調べたくなります。

Whois情報

ドメイン取得日も同日の4月16日でした。この詐欺師、アジリティが高すぎます。(Agility:俊敏性、機敏性)

ウイルス感染を電話で連絡してから2ヶ月以上経ってやっとノロノロと対応を始めた感染元サイトとは、あらゆる面で機動力が違います。

もう一方の商業施設のサイトも、相変わらず感染したままです。しかも、いつの間にか『必ずリダイレクトされる』ようになっています。もう、目も当てられません。

最初の企業の時に電話連絡しても無駄だったので、この商業施設ではサイト上にあるFacebookプラグインから企業ページにアクセス、3月16日にMessengerにてコンタクトを取ってみたのですが、完全に無視でした。

Facebook Messenger

もう、筋金入りです。

わたしが相手の事を考えて事が公にならないように裏でこっそり連絡をしてあげても、どこも全くまともに対応しようとすらしません

新型コロナウイルスに始まった事ではないですが、世間のみなさんはなにかあると政府の対応の不備をやり玉に上げていますが、一般企業も似たような物です。みんな、自分の責任になるのを恐れて隠蔽ばかりしていて、誠実な人間なんて殆ど居ません。

世間が新型コロナウイルスで大混乱している時に、あなた達、一体、何してるんすか!?

本当に、頭を抱える事となりました。

近況

最初の企業さんですが、なんとか再構築が終わったようです。(※2021年4月27日現在)

現在の企業サイト

リダイレクトはされませんが、まだSSL/TLSは導入出来ていないようですね。今どきはSSL/TLS通信が導入されていないサイトのランクは低く設定されますので、企業宣伝として『ホームページ』を運営しているのなら、早めに対応した方が良いでしょうね…。

これ、わたしが2021年1月末に電話連絡した時にちゃんとわたしの話を聞いていれば、こんな事にはならなかった筈なんですけどね。

もっと言うと、わたしが私の会社の取締役に事情を話した時に相手企業と話をしてくれていれば、2020年中には解決していた話なんです。世の中って、こんな人間ばかりなので溜息が出てきます…。

結語

この問題の何が難しいかというと、今の日本の法律では『あそこのサイトはウイルス感染している』というような事をおおっぴらに言うことは許されない、という事実です。

そういう事をすると、自分たちの不備でウイルス感染“された”サイトの管理者ではなく、公にした“わたし”が罰せられます。もう、言ってる事が何もかもメチャクチャです。

最初の企業の場合はそこにアクセスしてくるお客さんが減るだけの話なのでその企業だけの問題ですが、商業施設の方は公共施設と考えて良いため、そこを管理している企業だけの問題では無いでしょう。テナントもたくさん入っていますし、何より一般のお客さん達が何も知らずにアクセスしてくるサイトです。

NortonLifeLockが通信を遮断している以上何らかの不正なアクセスが閲覧者に対して行われている事は明らかで、何も知らない一般のお客さんが被害にあっている可能性は無視できませんが、こちらとしては何も出来ません。

こういう場合に、『一体、どこに相談したら良いのか?』という明確な基準が、今の日本にはありません。IPAに届け出る程大きな影響力のある脆弱性とも思えないからです。

妥当なところだと警察の生活安全課あたりでしょうが、恐らく、あそこの人達はデジタルの事は何一つ分からないでしょう。政府がデジタル庁を作りたい気持ちが分かります。

もう、完全にお手上げです。

上記2サイトについては引き続き状況を見守りますが、これはWordpressを利用する全てのサイトに関わってくる重要な問題です。

Wordpressの何がマズいかと言うと、よっぽど知識がないと、サーバから送られてくるHTMLのソースを一目見ただけで『Wordpressで構築されている』という事がすぐに分かる程、独特なディレクトリ構造を採用している事です。

巷のWEB制作会社の人達は、裏側の仕組みの事なんか全く分からないのに『Wordpressなら安くて良質のサイトが作れます』と言って、どんどん布教活動を進めています。こんな危険なアプリケーションを勧める精神が理解出来ません。

確かにWEB制作会社の人達は、それなりにセキュリティ対策を行っているでしょう。

ですが、表向きのディレクトリパスを書き換えてWordpressである事を隠蔽するような高度な知識・技術を採用しているサイトは、本当にごく僅かです。

何よりも、裏側で実際にどのような処理が行われているかについては、殆ど全てのWEB制作会社の人達全員が、全く理解していない筈です。何かあった時に、本当に対応、出来るのでしょうか? 『世界中の有志が居るから大丈夫だ』とか考えていそうな勢いなので、本当に良心を疑いたくなります。

材料に何を使われているか分からない食事を提供する料理屋が居たら、信用して食事を食べられるでしょうか?

その辺のところを、みなさん、もう一度よく考えてみた方が良いと思います。

なお、サイトがラッキービジター・ウイルスに感染してしまった時の対処方法は、恐らくこれらのサイトが役に立つのではないかと思います。

参考:ワードプレスサイトがウイルス感染したときの対応策 | 中古ドメイン騎士オーラン

参考:【WordPress】「ラッキービジター」ウイルスの駆除とその予防方法とは? | SEの良心

参考:ラッキービジター詐欺で使用されるPHPマルウェア - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

記事リンク