マルウェアの概要

今回解析したファイルは wp-cron.php という名前ですが、本来のWordPressコアファイルを改ざんした バックドア型マルウェア です。
正規の wp-cron.php はWordPressの自動タスク（予約投稿や更新チェックなど）を行う重要なファイルですが、攻撃者はこのファイルを差し替え、外部からの命令を受け取れる不正なコードを組み込んでいました。

---

特徴

• WordPressのコアファイルを直接改ざんしているため、気付きにくい。
• 難読化されたPHPコードが含まれ、外部からのアクセス時に任意コード実行が可能。
• 正規のcron機能を装い、バックグラウンドで不正処理を実行。
• 攻撃者がサイトを永続的にコントロールするための Webシェル機能 を搭載。

---

無毒化したコードの一部をサンプルで表記

<?php
if (isset($_POST['cmd'])) {
    $input = $_POST['cmd'];
    // 本来は危険な system($input) が実行される
    echo "[受信コマンド] " . htmlspecialchars($input);
}
?>

この仕組みにより、攻撃者はリモートからコマンドを送るだけで、サーバー上で自由に操作が可能となっていました。

---

感染ファイルの完全可読化ログ

以下は難読化を解除したコードの全体構造（危険部分は無効化済み）です。

<?php
@error_reporting(0);
@set_time_limit(0);
@session_start();

// 攻撃者が送るパラメータを処理
if (isset($_REQUEST['action'])) {
    $act = $_REQUEST['action'];

    if ($act === 'info') {
        phpinfo(); // サーバー環境情報の漏えい
    }
    elseif ($act === 'exec') {
        $cmd = $_POST['cmd'] ?? '';
        if ($cmd) {
            // 本来は外部コマンドを実行
            // echo shell_exec($cmd);
            echo "[疑似実行: $cmd]";
        }
    }
    elseif ($act === 'upload' && isset($_FILES['file'])) {
        $dest = $_FILES['file']['name'];
        // move_uploaded_file($_FILES['file']['tmp_name'], $dest);
        echo "[ファイルアップロード受信: $dest]";
    }
}
?>

---

危険性

• 自動タスクに偽装して常時実行されるため、気付きにくい。
• 攻撃者が任意のコマンドを実行し、サーバーを完全に制御可能。
• 不正なスクリプトやマルウェアの再配置による 継続的な感染。
• SEOスパムの設置や改ざんにより、検索順位の急落やアクセス減少。

---

実際の感染事例

• wp-cron.php が書き換えられ、攻撃者のリモートシェルとして利用されていたケース。
• サイトが不定期にスパムページへリダイレクトされ、Google検索結果から除外された事例。
• サーバーがボットネットの一部として利用され、スパムメール配信に悪用された報告もある。

---

駆除と復旧の方法

1. 改ざんされた wp-cron.php を削除し、WordPress正規ファイルで上書き。
2. WordPressコア・テーマ・プラグインを最新バージョンへ更新。
3. 管理者アカウントとパスワードをリセット。
4. データベースの確認 – 不審なオプションやユーザー追加を調査。
5. サーバー全体をスキャン – WordfenceやWP Cerber、MalCareで残存マルウェアを検知。
6. バックアップからの復元 – クリーンな状態を基に再構築するのが安全。

---

再発防止のセキュリティ対策

• WordPress本体・プラグイン・テーマを常に最新に保つ。
• 管理者ログインページにアクセス制限や二段階認証を導入。
• 不要なプラグインやテーマを削除。
• ファイル変更監視機能（セキュリティプラグインやサーバーログ監視）を導入。
• 定期的なバックアップと復元テストを実施。

---

まとめ：早期対応がSEOと信頼回復のカギ

wp-cron.php の改ざんは、サイトのタスク管理機能を悪用して持続的に侵入される非常に危険な手口です。
早期に発見・駆除し、再発防止の仕組みを整えることで、サイトの安全性と信頼を守ることができます。

著者情報

WordPressのセキュリティ復旧・運用支援を専門する CreativeStudio樂のエンジニアユニット によって執筆されております。
WordPressのマルウェア駆除、改ざん復旧、セキュリティ強化の豊富な実務経験に基づき、企業サイトやブログ運営者が安心してサイトを運営できるよう支援しています。