ホームページ改ざんの症状チェック・確認方法・最初の対応
ホームページの改ざんとは?別サイトへの誘導や不審なページ追加など、よくある症状と自分でできる確認方法、改ざんに気づいたときの初動対応、復旧までの流れと費用の目安をやさしく整理します。
「会社サイトを開くと、見覚えのない表示が出る」 「知らないページや広告が増えている気がする」 「検索結果の表示やリンク先だけおかしい」
こうした症状は、ホームページが改ざんされているサインかもしれません。
この記事では、ホームページ改ざんとは何か、よくある症状と自分でできる確認方法、 気づいたときの初動対応、復旧までの流れと費用の目安をまとめます。
不審な転送、見覚えのない表示、検索結果の異常は、改ざんを疑う入口になります。
ホームページの改ざんとは
ホームページの改ざんとは、 運営者の意図しない形で、第三者が勝手にホームページの内容やプログラムを書き換えてしまうことです。
改ざんには、大きく分けて2つのタイプがあります。
1. 見た目が変わるタイプ
トップページが別の画像や主張に差し替えられたり、 身に覚えのないページや広告が追加されたりするものです。 見ればすぐに異変がわかるため、比較的気づきやすい改ざんです。
2. 見た目ではわからないタイプ
近年はこちらが主流です。 ページの見た目はほとんど変えずに、
- 訪問者を不審なサイトへ自動転送する仕掛けを埋め込む
- 訪問者のパソコンをウイルスに感染させるプログラムを仕込む
- 検索エンジンにだけ偽のページを見せる(検索結果の乗っ取り)
といった形で悪用されます。
このタイプは、運営者が普段サイトを見ていても気づけないことが多いのが厄介な点です。 「お客様から指摘されて初めて知った」「検索結果がおかしいと言われた」 というきっかけで発覚するケースが少なくありません。
ホームページ改ざんでよくある症状
改ざんと言っても、見え方は一つではありません。 利用者や社内からは、次のような形で気づくことがあります。
- ホームページを開くと別のサイトに移る
- 日本語が不自然なページが出る
- 身に覚えのない商品ページや記事が増えている
- 見たことのない広告やリンクが表示される
- ログインしていない利用者だけ挙動がおかしい
- 検索結果に覚えのないタイトルや説明が出る
- セキュリティ警告のような表示が出る
社内で普通に見えていても、 利用者や検索結果では先に異変が見えていることもあります。
改ざんされていないか自分で確認する方法
「症状らしきものはあるが、改ざんかどうか判断できない」 という場合、専門知識がなくても確認できることがいくつかあります。
1. 検索結果に警告が出ていないか見る
Googleで自社名やサイト名を検索し、検索結果に 「このサイトは第三者によってハッキングされている可能性があります」 といった警告が表示されていないか確認します。 この表示が出ている場合、Googleが改ざんの痕跡を検知しています。
2. site:検索で身に覚えのないページを探す
Googleの検索窓に「site:自社のドメイン名」と入力して検索すると、 Googleに登録されている自社サイトのページ一覧が出ます。
ここに、作った覚えのない商品ページや外国語のページが 大量に並んでいる場合、改ざんの可能性が高い状態です。
3. Google Search Console の「セキュリティの問題」を確認する
Search Console(サーチコンソール)を導入している場合は、 メニューの「セキュリティと手動による対策」→「セキュリティの問題」を開きます。 ハッキングやマルウェアが検出されていれば、ここに警告が表示されます。
導入していない場合でも、この機会に設定しておくと 今後の異変に早く気づけるようになります。
4. Googleの透明性レポートでURLを調べる
Googleが提供している「セーフブラウジング サイトステータス」に 自社サイトのURLを入力すると、危険なサイトとして 登録されていないかを無料で確認できます。
5. スマホ・別回線・検索結果経由でアクセスしてみる
改ざんの中には、 「スマホからのアクセスだけ」「検索結果から来た人だけ」 別サイトに飛ばす手口があります。
社内のPCから直接見るだけでなく、 スマホ回線や検索結果経由など、複数の経路で開いてみてください。
これらの確認で異変が見つかった場合も、 慌てて削除や修正をする前に、まず後述の「最初の30分でやること」に進んでください。
なぜ改ざんされるのか:よくある原因と侵入口
「うちのような小さな会社のサイトが、なぜ狙われるのか」 と感じる方は多いのですが、実際には 攻撃の多くは特定の会社を狙ったものではありません。
攻撃者はツールを使って、 「守りの弱いサイト」をインターネット上から無差別に探し、 見つけたところから順に侵入していきます。
つまり、会社の規模や知名度に関係なく、 **「弱い状態のまま放置されているかどうか」**で狙われます。
SSL証明書の期限切れによる「保護されていない通信」は、改ざんを直接示すものではありません。ただし、管理が止まっているサインにはなりやすいため、表示が出ている場合はSSL警告の原因と初動も確認しておくと整理しやすくなります。
よくある侵入口は次のとおりです。
1. WordPressやプラグインの更新を止めている
WordPress本体・プラグイン・テーマには、 日々新しい弱点(脆弱性)が見つかっており、 更新プログラムで塞がれています。
更新を止めたまま放置していると、 「弱点が公開されているのに塞いでいない」状態になり、 機械的な攻撃の格好の標的になります。
2. 使っていない旧サイトやテスト環境が残っている
リニューアル前の旧サイト、テスト用に作ったWordPress、 退職した担当者が作った管理画面など、 誰も見ていない環境が同じサーバーに残っているケースです。
本体サイトをきちんと管理していても、 こうした残置環境から侵入され、 サーバーごと改ざんされることがあります。
詳しくは 使っていない WordPress や古いプラグインが残ると何が危ない? で整理しています。
3. 管理画面やFTPのパスワードが弱い・漏れている
推測しやすいパスワード、他サービスとの使い回し、 退職者アカウントの放置などから、 ログイン情報そのものを奪われて侵入されるケースです。
この場合、サイトの作りに問題がなくても改ざんされてしまいます。
4. サーバーやプログラムの弱点を突かれる
SQLインジェクションなど、 サイトのプログラムの弱点を直接突く攻撃もあります。 古い仕組みのまま長年動いているサイトほど、この危険が残りやすくなります。
原因がどれなのかは、外から見ただけでは断定できません。 ただ、「長く手を入れていないサイト」「管理状況が曖昧なサイト」ほど、 どの侵入口も開きやすくなっているのは共通しています。
会社側に起こりやすい被害
改ざんが起きると、 単に「サイトの一部が変わる」だけでは済まないことがあります。
たとえば、次のような影響が起こりやすいです。
- 会社サイトなのに不審な印象を与え、信用を落とす
- 問い合わせや申し込みの直前で離脱される
- 検索結果の見え方が悪化し、本来見せたいページが埋もれる
- 復旧や調査に時間と費用がかかる
- 社内で「誰が対応するか」から確認が必要になり、初動が遅れる
特に企業サイトでは、 「しばらく見ていなかった」「少し気になっていたが後回しにした」 という状態が、後から大きな負担になることがあります。
実際に、過去には複数の企業のホームページが一斉に書き換えられ、 「破産手続き開始」といった事実無根の告知が表示される事件も起きています。 中には、メールまで乗っ取られて顧客に不審なメールが送られたケースもありました。
改ざんは「サイトの見た目の問題」では終わらず、 会社の信用やお客様との関係に直接およぶ被害になり得ます。
改ざんに気づいたら最初の30分でやること
改ざんの疑いがあるときは、 いきなり修正作業に入るより、 状況を崩さず記録に残すことが最優先です。
次の順番で進めてください。
- 症状が出ているURLと、気づいた日時を控える
- 画面キャプチャや検索結果の表示を保存する
- PCとスマホなど、複数の環境で同じ症状が出るか確認する
- 検索結果上の表示がおかしいのか、実ページがおかしいのかを切り分ける
- 関係者に「何が起きているか」だけを共有する
- 管理会社や保守担当、サーバー担当へ連絡する
この段階で原因を特定する必要はありません。 症状を再現できる形で残し、関係者が同じ情報を見られる状態を作ることが目的です。
外部へ相談するときは、技術的な説明は不要です。 次の情報があるだけで、ぐっと進めやすくなります。
- どのページで、何が、いつから起きているか
- 最近サイトやサーバーで大きな変更があったか
- WordPressを使っているかどうか
- 旧サイトや使っていない管理画面が残っていそうか
- 連絡できる管理担当や制作会社がいるか
やってはいけないこと
慌てて触ると、 あとから状況がわかりにくくなることがあります。
特に次のようなことは注意が必要です。
- 何が起きているかわからないまま片っ端から削除する
- 証拠を残さずに上書きしてしまう
- 関係者への共有前にログイン情報を広く配ってしまう
- 原因が不明なまま「もう直ったはず」と判断する
- 今見えているページだけ直して安心してしまう
改ざんの疑いがある場合は、 見えている症状だけ直しても、 原因が残っていれば再発の不安が残ります。
復旧までの流れ
改ざんからの復旧は、症状を消すことではなく、 侵入口を塞いで、安全な状態に戻すことがゴールです。
一般的には、次のような流れで進みます。
1. サイトの一時公開停止・メンテナンス表示
訪問者への二次被害(ウイルス感染や不審サイトへの誘導)を 止めるため、必要に応じてサイトを一時的に閉じます。
2. パスワードの全変更
サーバー、FTP、WordPressの管理画面、データベースなど、 サイトに関わるログイン情報をすべて変更します。 侵入経路が不明な段階では、「どれかが漏れている」前提で動きます。
3. 原因と被害範囲の調査
いつ・どこから侵入されたか、 どのファイルが書き換えられたか、 不正なファイルが追加されていないかを調べます。
4. 復旧(クリーンな状態への巻き戻し or 再構築)
改ざん前の正常なバックアップがあれば、そこへ戻すのが基本です。 バックアップがない場合や、いつから改ざんされていたか不明な場合は、 作り直しに近い対応が必要になることもあります。
5. Googleへの再審査リクエスト
検索結果に警告が出ていた場合は、 復旧後にSearch Consoleから再審査をリクエストし、 警告表示を解除してもらいます。
6. 再発防止策の実施
侵入口を塞がないまま復旧しても、高い確率で再発します。 更新の再開、不要な環境の削除、パスワード管理の見直しまで含めて はじめて「復旧した」と言えます。
このうち、2〜6は専門的な作業を含むため、 自社だけで完結させようとせず、 保守担当や専門の事業者と進めるのが現実的です。
復旧にかかる費用の目安
改ざんの復旧費用は、被害の範囲と原因によって大きく変わります。
- 被害が一部のファイルにとどまり、正常なバックアップがある場合 → 比較的小さな負担で済むことがあります
- 侵入時期が不明で、サイト全体の調査が必要な場合 → 調査と復旧をあわせて数十万円規模になるケースもあります
- バックアップがなく、再構築が必要な場合 → サイトの作り直しに近い費用がかかることもあります
共通して言えるのは、 発見が早いほど、被害も費用も小さく抑えやすいということです。
「改ざんかどうかわからない段階」で相談することは、 決して大げさなことではありません。
ホームページまもるくんでは、改ざん・不具合の調査と復旧支援を 110,000円〜 の有事対応として案内しています。症状や影響範囲によって変わるため、正式な金額は状態を確認してからお見積もりします。
改ざんを防ぐためにできること
改ざんの多くは、特別な攻撃ではなく、 基本的な管理の隙から起きています。 裏を返せば、次のような基本を押さえるだけで、危険は大きく減らせます。
- WordPress本体・プラグイン・テーマを最新の状態に保つ
- 使っていないプラグインやテーマ、旧サイト、テスト環境を削除する
- 管理画面やFTPのパスワードを強固にし、使い回しをやめる
- 退職者のアカウントを残さない
- 定期的にバックアップを取り、復元できるか確認しておく
- Search Consoleを設定し、警告に気づける状態にしておく
すべてを一度にやる必要はありません。 ただ、「誰が・何を・いつ見ているのか」が曖昧なまま 時間が経つほど、上記のどれもが崩れていきます。
「うちのサイト、今どうなっているんだっけ」という状態なら、 まず現状の整理から始めるのがおすすめです。
まだ症状はないが不安な場合
実際には、 改ざんが起きてから初めて 「古い管理画面が残っていた」「誰が管理者かわからない」 と気づくことも少なくありません。
症状がまだ出ていなくても、
- 長く全体を見直していない
- 管理状況が曖昧
- 旧サイトや残置 WordPress がありそう
- リニューアル前に一度整理したい
という場合は、 ホームページ放置のリスクとは? から全体像を押さえておくと判断しやすくなります。
よくある質問
- サイトが改ざんされているか、自分で確認する方法はありますか?
-
別のサイトに勝手に移動する、見覚えのないページや広告が表示される、検索結果に不自然なタイトルが出る、といった症状が代表的なサインです。PCとスマホの両方、検索結果経由のアクセスなど、複数の環境で確認すると気づきやすくなります。
- 改ざんされたページを急いで削除してもよいですか?
-
すぐ削除するのはおすすめしません。証拠が消えて原因の特定が難しくなるうえ、見えている部分だけ消しても原因が残っていれば再発します。まずは症状の画面キャプチャを残し、管理会社や保守担当に共有することを優先してください。
- 改ざんの復旧にはどれくらいの費用がかかりますか?
-
被害の範囲や原因によって大きく変わりますが、調査と復旧をあわせて数十万円規模になるケースもあります。被害が広がる前の早い段階で対応するほど、負担を抑えやすくなります。
- 検索結果の表示だけがおかしい場合も改ざんですか?
-
改ざんの可能性はありますが、断定はできません。検索エンジン向けにだけ内容を差し替える手口もあるため、実ページと検索結果のどちらがおかしいかを切り分けて記録しておくと、相談時に状況を伝えやすくなります。
- 改ざんされたら、警察に届け出るべきですか?
-
被害の内容によっては、警察(都道府県警察のサイバー犯罪相談窓口)への相談・届け出が選択肢になります。特に、金銭被害や情報漏えいの可能性がある場合は、証拠(画面キャプチャやログ)を残したうえで相談することをおすすめします。技術的な復旧と並行して進められます。
- WordPressを使っていなくても改ざんされますか?
-
されることがあります。WordPressは件数として狙われやすいだけで、サーバーの設定不備、FTP情報の漏えい、古い自作プログラムの弱点など、WordPress以外の侵入口も存在します。「CMSを使っていないから安全」とは言えません。
- 改ざんに気づかず放置すると、どうなりますか?
-
訪問者への被害(ウイルス感染や詐欺サイトへの誘導)が続くほか、Googleから危険なサイトと判定されて検索結果から事実上消えたり、サーバー会社からサイトを強制停止されたりすることがあります。発見が遅れるほど、調査範囲が広がり復旧の負担も大きくなります。
心当たりがある方へ
「改ざんかどうか断定できないが、不審な表示がある」 「まずは何が起きているか整理したい」
そんな場合は、 症状を見つけた段階で整理する方が、 被害を広げずに対応しやすくなります。
すでに改ざんや不審な転送が起きている場合は、 お問い合わせ内容の冒頭に 「緊急」 と記載してください。 優先して内容を確認しますが、即日対応や復旧を保証するものではありません。
運営者情報
中沢 孝幸
屋号 ホットスペース / Web制作・運用歴 20年以上
ホームページの問題は、明らかに壊れてから初めて気づかれることが少なくありません。20年以上にわたりWeb制作・運用に携わるなかで、放置されたWordPressが改ざんなどの実害につながる現場も見てきました。
WordPressの保守・整理、改ざんや不正アクセスの調査・復旧、サーバーや旧環境の整理を中心に、長年の現場経験と最新のAIを組み合わせて、全国からオンラインで対応しています。大きな問題になる前の、「なんだか心配」という段階で現状を整理できる相談先をつくりたいと考え、このサービスを運営しています。