コラム 脆弱性レポート
お申し込み

コラム

ホーム » コラム » LFI攻撃の手口と今すぐできる対策を徹底解説

LFI攻撃の手口と今すぐできる対策を徹底解説

公開日

WordPressセキュリティ基礎知識 #LFI#XSS対策#サイト改ざん#マルウェア感染#保守・メンテナンス#権限昇格
LFI(ローカルファイルインクルージョン)は、攻撃者がサーバー内の重要なファイルにアクセスすることを可能にする危険な攻撃手法のひとつです。ちょっとしたコードの記述ミスやプラグインの使い方ひとつで、重大な脆弱性にさらされる可能性があります。
本記事では、サイバー攻撃の中でも、特に注意したい「LFI(エルエフアイ)攻撃」について、分かりやすく解説します。

「LFI攻撃って何?なんだか難しそう…」と感じるかもしれませんが、大丈夫です。この記事を読めば、LFI攻撃がどんなものなの、かどんな手口で攻撃されるのか、放っておくとどんなに怖いことになるのか、そして、あなたのWordPressサイトをどうやって守ればいいのかが、スッキリ分かります。

1. はじめに:見過ごせない脅威「LFI攻撃」とは?

まず、「LFI攻撃」とは何か、簡単にご説明しますね。 LFIは「Local File Inclusion(ローカル・ファイル・インクルージョン)」の略です。日本語にすると「ローカルファイル読み込み」といった感じでしょうか。 簡単に言うと、攻撃者がウェブサイトのプログラムの弱点(これを「脆弱性(ぜいじゃくせい)」と言います)を悪用して、サーバーの中にある、本来は見せてはいけないはずのファイルの内容を、不正に盗み見てしまう攻撃のことです。 泥棒が、お店のセキュリティの甘いところ(脆弱性)を見つけて、普段はお客さんが入れないバックヤード(サーバー内部)に忍び込み、顧客名簿や売上台帳(重要なファイル)をこっそり盗み見るイメージです。 WordPressで作られたウェブサイトも、残念ながらこのLFI攻撃のターゲットになることがあります。もし対策をしていなければ、あなたのサイトの大切な情報が抜き取られたり、サイトが改ざんされたりする恐れがあるのです。 「自分のサイトは小さいから大丈夫」なんてことはありません。攻撃者は、規模の大小を問わず、脆弱性のあるサイトを常に探しています。

2. LFI攻撃はどのように行われる?その巧妙な手口と仕組み

では、攻撃者はどうやってLFI攻撃を仕掛けてくるのでしょうか? その手口と仕組みを、少し詳しく見ていきましょう。

LFI攻撃が成立する基本的な仕組み

ウェブサイトは、訪問者が見たいページをリクエストすると、サーバーがその指示に従って適切な情報を表示します。例えば、あなたが「会社概要ページ」のリンクをクリックすると、サーバーは「会社概要のファイルを見せてあげよう」と動きます。 LFI攻撃は、この「どのファイルを見せるか」という指示の部分を、攻撃者が不正に書き換えてしまうことで成り立ちます。 ウェブサイトのプログラムに「ユーザーからの指示を鵜呑みにして、チェックせずにファイルを表示してしまう」ような弱点(脆弱性)があると、攻撃者はそこを突いてくるのです。

具体的なLFI攻撃の手口例

攻撃者は、ウェブサイトのURL(アドレス)の一部を、まるで暗号のように書き換えて攻撃します。
  • 手口:「ディレクトリトラバーサル (../../)」の悪用 これがLFI攻撃でよく使われる代表的な手口です。 ../ というのは、「一つ上のフォルダに戻ってね」という意味の記号です。攻撃者はこれを何度も繰り返して(../../../../ のように)、本来アクセスできないはずの、より重要なファイルが置いてある場所にたどり着こうとします。 【図解イメージ】 URL: https://あなたのサイト.com/index.php?page=普通のページ.html 攻撃者が改ざんしたURL: https://あなたのサイト.com/index.php?page=../../../../etc/passwd (「page=」の後ろが、秘密の通路をたどる呪文のように書き換えられている!) この ../../../../etc/passwd というのは、サーバーのユーザーアカウント情報が書かれていることが多い、とても重要なファイルの一つです(もちろん、これが見えたからといって即座にパスワードが分かるわけではありませんが、攻撃の大きな手がかりになります)。

LFI攻撃で狙われやすいファイルとは?

LFI攻撃で特に狙われやすいのは、以下のようなファイルです。
  • WordPressの設定ファイル (wp-config.php) これはWordPressサイトにとって最重要ファイルの一つです。なぜなら、データベースに接続するためのIDやパスワードといった、まさに「サイトの金庫の暗証番号が書かれたメモ」のような情報が書かれているからです。これが盗まれると、サイトの情報を丸ごと抜き取られたり、改ざんされたりする危険性が非常に高まります。
  • サーバーのシステム設定ファイル (/etc/passwd など) サーバー全体のユーザー情報などが含まれており、他の攻撃の足がかりにされる可能性があります。
  • サイトのソースコードや、一般公開していないデータファイル サイトのプログラム自体や、まだ公開していない新商品の情報などが盗まれることも。

3. LFI攻撃によってWordPressサイトに何が起こる?深刻な被害とリスク

もしLFI攻撃の被害に遭ってしまったら、あなたのWordPressサイトにはどんな恐ろしいことが起こりうるのでしょうか? 具体的なリスクを見ていきましょう。

  1. 致命的な情報漏洩:サイトの根幹を揺るがす

これがLFI攻撃の最大の脅威です。
  • データベースの情報丸ごと流出: 先ほどお話しした wp-config.php が盗まれれば、データベースの接続情報が攻撃者の手に渡ります。そうなると、あなたのサイトの会員情報(氏名、メールアドレス、住所など)、購入履歴、お問い合わせ内容など、ありとあらゆるデータが盗み放題になってしまう可能性があります。
  • サーバー内の他の重要ファイルも…: WordPress以外のファイルや、同じサーバーで運用している他のサイトの情報まで漏洩する危険性もゼロではありません。
  • サイトのプログラムが盗まれる: 苦労して作った独自のプログラムやデザインが盗まれ、模倣サイトを作られるかもしれません。

  1. サイト改ざん:信頼とブランドイメージの失墜

LFI攻撃で得た情報を元に、攻撃者はさらに別の手口でサイトを改ざんすることがあります。
  • 見た目が変わってしまう: あなたのサイトが、全く関係ない画像やメッセージに書き換えられたり、不適切な内容が表示されたりします。
  • ウイルス配布サイトに…: あなたのサイトを訪れた人が、ウイルスに感染してしまうような仕掛けを埋め込まれることも。「あなたのサイトは危険だ」というレッテルを貼られてしまいます。
  • お店の看板が勝手に書き換えられるようなものです。お客さんは誰も寄り付かなくなってしまいますよね。

  1. サーバー乗っ取りの足がかり:さらなる被害拡大の危険性

LFI攻撃は、それ自体がゴールではなく、もっと大きな攻撃の第一歩として利用されることもあります。
  • サーバーに不正侵入される: 盗まれた情報を手がかりに、攻撃者がサーバー自体に不正にログインし、完全に支配下に置いてしまう可能性があります。
  • 他のサイトへの攻撃の踏み台にされる: あなたのサーバーが、他の企業や組織を攻撃するための「中継地点」として悪用されることも。そうなると、あなたが意図せずとも、他の攻撃の加害者になってしまうのです。

  1. サービス停止:ビジネスチャンスを逃す

攻撃によってサイトのシステムが不安定になったり、サーバーに大きな負荷がかかったりすると、あなたのサイトが表示されなくなってしまうことがあります。
  • お客さんがアクセスできない: 商品を買ったり、サービスを申し込んだり、情報を見たりすることができなくなり、大きなビジネスチャンスを逃してしまいます。

  1. 法的責任・信用の失墜

特に個人情報が漏洩した場合、法的な責任を問われたり、顧客からの信用を完全に失ってしまったりする可能性があります。一度失った信用を取り戻すのは、非常に困難です。 このように、LFI攻撃は、あなたのWordPressサイトにとって、まさに致命傷になりかねない深刻なリスクをはらんでいるのです。

4. あなたのWordPressサイトをLFI攻撃から守る!今日からできる具体的な対策

「そんなに怖いなら、どうすればいいの?」と不安になりますよね。でも大丈夫! LFI攻撃からあなたのWordPressサイトを守るために、今日からできる具体的な対策があります。

  1. 基本かつ最重要!「WordPress本体・テーマ・プラグイン」を常に最新版に!

これはどんなセキュリティ対策でも言われることですが、本当に重要です。WordPressやテーマ、プラグインの開発者たちは、新しい脆弱性が見つかると、それを修正した新しいバージョンを公開します。古いバージョンのまま放置していると、「どうぞ攻撃してください」と言っているようなもの。面倒くさがらず、常に最新の状態を保ちましょう。

  1. 信頼できるテーマ・プラグインを選んで使う

WordPressには便利なテーマやプラグインがたくさんありますが、中にはセキュリティが甘いものや、長期間更新されていないものも…。
  • 公式ディレクトリからダウンロードする: WordPressの公式サイトで配布されているものは、比較的安心です。
  • 評価やレビュー、最終更新日をチェック: あまりにも評価が低いものや、何年も更新されていないものは避けた方が無難です。
  • 使っていないものは削除する: 「いつか使うかも」と残している不要なテーマやプラグインは、攻撃の入り口になる可能性があるので、思い切って削除しましょう。

  1. WAF (Web Application Firewall) を導入・活用する

WAF(ワフと読みます)は、ウェブサイトへの不正な攻撃を検知してブロックしてくれる「ウェブサイトの頼れる用心棒」のようなものです。LFI攻撃特有の怪しい動き(例えば、URLに ../../ がたくさん含まれているなど)を察知して、シャットアウトしてくれます。 契約しているレンタルサーバーによっては、オプションでWAF機能を提供している場合があるので、確認してみましょう。 【図解イメージ】 攻撃者 ---> [怪しいリクエスト] ---> (WAFがブロック!) X [あなたのサイト] 訪問者 ---> [正常なリクエスト] ---> (WAFが通過許可) ✔ [あなたのサイト]

  1. セキュリティプラグインを導入して、しっかり設定する

WordPressには、LFI攻撃対策を含め、様々なセキュリティ機能をまとめて提供してくれる便利なプラグインがあります(例:Wordfence Security, All In One WP Security & Firewall など)。 導入するだけでなく、設定をしっかり行い、ファイルが勝手に書き換えられていないかチェックする機能などを有効にしておきましょう。

  1. ファイルパーミッション(権限)を適切に設定する

これは「各部屋の鍵をしっかりかける」イメージです。 サーバー内のファイルやフォルダには、「誰がそのファイルを読み取れるか、書き込めるか」といった権限(パーミッション)を設定できます。特に、先ほどお話しした超重要ファイル wp-config.php などは、ウェブサーバーから書き込みができないように、権限を厳しく設定しておくことが大切です(例:パーミッションを「400」や「440」にする)。設定方法はサーバーによって異なる場合があるので、サーバー会社のマニュアルを確認したり、詳しい人に相談したりしましょう。

  1. 定期的なバックアップを必ず取る

どんなに気をつけていても、100%攻撃を防げるとは限りません。万が一、被害に遭ってしまった場合に、サイトを元の状態に戻せるように、定期的にサイト全体のバックアップを取っておくことは非常に重要です。

  1. PHPのセキュアな設定

WordPressが動いているPHPというプログラムの設定で、セキュリティを高めるものがあります。例えば、allow_url_include という設定を Off にする(通常はそうなっています)と、外部のURLからファイルを直接読み込むような危険な動きを防げます。このあたりは専門知識が必要なので、自信がない場合は無理せず、専門家やサーバー会社に相談しましょう。

  1. セキュリティ診断を検討する

「自分でできる対策は一通りやったけど、本当に大丈夫かな…?」と不安な場合は、専門家や専門のツールによるセキュリティ診断を受けてみるのも良いでしょう。自分では気づかなかった弱点が見つかるかもしれません。 これらの対策を一つ一つ丁寧に行うことで、LFI攻撃のリスクを大幅に減らすことができます。

5. もしLFI攻撃の兆候を発見したり、被害に遭ってしまったら?

万が一、「サイトの表示がおかしい」「身に覚えのないファイルがある」「サーバーのログに怪しいアクセス記録がある」など、LFI攻撃の可能性を感じたり、実際に被害に遭ってしまったりした場合は、慌てずに対処することが大切です。

  1. サイトを一時的にオフラインにする

被害の拡大を防ぐため、まずはサイトをメンテナンスモードにするなどして、外部からアクセスできないようにします。

  1. 被害状況の確認とログの保全

いつ、どこから、どのような攻撃を受けたのか、サーバーのアクセスログなどを確認します。これらのログは、原因究明や対策の重要な手がかりになります。

  1. 専門家へすぐに相談する

自分だけで解決しようとせず、契約しているレンタルサーバー会社や、セキュリティ専門の業者に速やかに連絡し、指示を仰ぎましょう。初期対応を誤ると、被害がさらに拡大する可能性があります。

  1. クリーンなバックアップからサイトを復旧する

攻撃を受ける前の、安全な状態のバックアップデータを使ってサイトを元に戻します。

  1. 脆弱性の原因を特定し、修正する

なぜ攻撃を受けてしまったのか、原因となった脆弱性を特定し、しっかりと修正します。

  1. 関連するパスワードを全て変更する

データベース、FTP、WordPressの管理者アカウントなど、関連する可能性のあるパスワードは全て、より強力なものに変更しましょう。

  1. 再度セキュリティチェックを行う

復旧後、本当に安全な状態になったか、再度セキュリティチェックを行います。 被害に遭ってしまった場合は、迅速かつ適切な対応が何よりも重要です。

6. まとめ:LFI攻撃は他人事ではない!WordPressサイトを守るために今すぐ行動を

今回は、WordPressサイトを狙うLFI攻撃の手口と、その対策について詳しく解説しました。 LFI攻撃は、一度被害に遭うと、情報漏洩やサイト改ざんなど、取り返しのつかない深刻な事態を引き起こす可能性がある、非常に危険な攻撃です。 「自分のサイトは大丈夫」という思い込みは捨てて、この記事で紹介した対策を参考に、今日からできることから始めてみましょう。
  • WordPress本体、テーマ、プラグインは最新ですか?
  • 信頼性の低いプラグインを使っていませんか?
  • WAFやセキュリティプラグインは導入していますか?
  • 定期的なバックアップは取っていますか?
これらの基本的な対策をしっかり行うだけでも、LFI攻撃のリスクは大きく減らせます。 「でも、自分でセキュリティ対策をするのは難しそう…」 「もっと専門的で、包括的なセキュリティ対策をお願いしたい…」 もしそう感じているなら、私たち「WP Secua Support」のような専門サービスの利用も検討してみてください。 「WP Secua Support」は、WordPressサイトのセキュリティ設定、脆弱性診断、日々の監視、そして万が一のトラブル発生時の復旧サポートまで、専門知識がなくても安心してサイトを運用できるよう、トータルでサポートします。LFI攻撃のような巧妙な脅威からも、あなたのWordPressサイトをしっかり守るお手伝いをします。 セキュリティ対策は、面倒に感じるかもしれませんが、あなたのWordPressサイトという大切な資産を守るために、そしてサイトを訪れてくれるユーザーに安心して利用してもらうために、決して怠ってはいけない重要な投資です。 この記事が、あなたのWordPressサイトのセキュリティ意識を高めるきっかけになれば幸いです。
コラム一覧に戻る

関連記事

今だけ3カ月無料キャンペーン実施中

お申し込みはこちら サービスに関するお問い合わせはこちら
お問い合わせ