マルウェアの概要

本レポートでは、WordPress ルートディレクトリに設置されていた index.php に混入した高度に難読化された PHP バックドアを解析します。通常の WordPress コアファイルに、外部からの命令を受けて任意コード実行・出力を行う不正コードが先頭に挿入されていました。

特徴

  • 文字列テーブル $O による高度な難読化
  • 配列インデックス連結で動的に関数名を生成
  • 外部リクエストパラメータを復号して実行するバックドア構造
  • WordPress の正規 index.php の前に挿入され、気づきにくい
  • 任意コード実行・ファイル操作・出力が可能な危険性

無毒化したコードの一部をサンプルで表記

以下は、危険部分をコメント化して安全化した抜粋です。

<?php
// 難読化された文字列テーブル
$O = "O+5AcZyzn/oMTIWU=S:jk?.uvlmd|fg*hiPQ23EFabDRBC1eG> YtH...";

// 動的に関数名を復元(例: base64_decode 相当など)
$OOO = $O[14].$O[7].$O[17].$O[40] ...;

// 外部入力を受け取り復号し実行
// $payload = $OOO($_POST["p"] ?? "");
// eval($payload);
?>

感染ファイルの完全可読化ログ

以下は、危険な命令を「無効化した状態」で、構造のみを可視化した完全可読化ログです。

[1] 文字列テーブル `$O` に約 80 文字のランダム文字列
[2] `$OO`, `$Oo`, `$OOO` など動的な結合で複数の関数名を生成
[3] 生成される関数の例:
    - base64_decode
    - gzinflate / gzuncompress
    - file_put_contents
    - eval(最終的に実行パスに利用)
[4] 外部入力パラメータ例:
    - $_REQUEST / $_POST / $_COOKIE
[5] 復号処理チェーン例:
    base64 → inflate → eval
[6] 実行結果を echo して終了する backdoor exit パターン

危険性

  • 任意コード実行:外部から送られたデータを eval で実行可能
  • ファイル改ざん:file_put_contents の存在により追加感染が可能
  • サイト乗っ取り:管理者権限不要で完全掌握される危険
  • SEOスパム化:不正リダイレクトやコンテンツ書き換えに悪用される
  • ステルス性が高い:WordPress の正規 index.php に混在し発見が遅れる

実際の感染事例

  • index.php / wp-load.php / wp-config.php などに似た形式の難読化コードを確認
  • 管理画面へログインしなくても外部から不正命令が注入される状況
  • 同一サーバー内の別ドメインへ横断感染しているパターンも確認

駆除と復旧の方法

1. 感染ファイルの除去

  • index.php の不正部分を削除し、WordPress 正規ファイルで完全上書き
  • 可能であれば公式 ZIP から該当ファイルを再配置

2. 他ファイルの全スキャン

  • wp-admin, wp-includes, theme, plugin ディレクトリ内の難読化ファイルを総確認
  • .htaccess / wp-blog-header.php / wp-settings.php も必ずチェック

3. サーバー内横断感染の確認

  • SSH にて以下を実施:
grep -R "eval(\$O" -n /home/USER/
grep -R "gzinflate" -n /home/USER/

4. パスワード変更

  • cPanel / FTP / SSH / DBユーザー / WordPress の全パスワードを変更

5. データベース改ざんの確認

  • wp_options に不審な autoload = yes の長文レコードがないか確認

再発防止のセキュリティ対策

  • WordPress コア・テーマ・プラグインの最新化
  • 使用していないテーマ/プラグインの完全削除
  • WAF(アプリケーションファイアウォール)の導入
  • ファイル監視ツール(Wordfence / Patchstack / WP Activity Log)導入
  • SFTP/SSH 接続への強制切り替え
  • 自動バックアップ(最低1日1回)を構築

まとめ:早期対応がSEOと信頼回復のカギ

このマルウェアは、単なる改ざんではなく 外部指令を受けるバックドア型 のため極めて危険です。WordPress コアファイルに混入することで検出が遅れ、多数のサイトへ横断感染するリスクもあります。
早期の駆除・サーバー全体の見直し・パスワード変更が不可欠です。

著者情報

WordPressのセキュリティ復旧・運用支援を専門する CreativeStudio樂のエンジニアユニット によって執筆されております。
WordPressのマルウェア駆除、改ざん復旧、セキュリティ強化の豊富な実務経験に基づき、企業サイトやブログ運営者が安心してサイトを運営できるよう支援しています。

44