eval/base64_decode/file_get_contents を使ったマルウェアの特徴と見分け方

突然あなたのサイトにウィルスが仕込まれるのを想像したことがありますか？

私自身、想像したこともなく、悪意があるコードに何が書かれているのかなど、詳しいことはよく知りませんでした。

実際に被害にあったことで、とても勉強になりました。

1. WordPressに仕込まれる不正PHPコード（よく使われる関数）

eval

base64_decode

file_get_contents

gzinflat

str_rot13

create_function

2. 典型的な不正コードの例（無効化済み）

eval(

    base64_decode(

        file_get_contents(

            gzinflate(

                str_rot13(

                    create_function(”, ‘…’)

                )

            )

        )

    )

);

3-1. なぜ危険か？

eval が外部入力を実行してしまう

base64_decode や gzinflate でコードを隠す

create_function で即席関数を作って動かす

3-2.見分けるポイント

普段のテーマやプラグインに出てこない関数が使われている

難読化（長い英数字の文字列）がある

wp-includes や uploads に突然 .php ファイルができている

専門家に尋ねる：IPA 情報処理推進機構（https://www.ipa.go.jp）

4.防ぐ方法（対策）

・Wordfence や SiteGuard の導入

・不要なプラグイン削除

・定期バックアップ

・サーバー会社にスキャンを依頼

・怪しいPHPファイルを監視

・セキュリティプラグイン（Wordfence等）導入

・サーバーログをチェック

5. 被害に遭ってしまった際のGoogleへの報告方法

もしサイトが不正アクセス・マルウェア感染の被害に遭った場合は、Googleに報告して検索結果からの警告表示を解除してもらう必要があります。

① 自分のサイトをプロパティとして追加しておき、Google Search Console にログイン　

②「セキュリティの問題」を確認

・左メニュー → 「セキュリティと手動による対策」 → 「セキュリティの問題」

・マルウェアや改ざんが検出されている場合は警告が出ます

③ 感染ファイルを削除し、サイトを修復

・不正なPHPファイルや.htaccess改ざんを取り除く

・WordPress本体・プラグインを再インストールやアップデート

因みにこの作業はサイトの規模によりますが、感染したファイル多いと２～３週間かかることもあります。

④ 審査をリクエスト

・「修正が完了しました」にチェックを入れ → 「審査をリクエスト」ボタンを押す

・数日～1週間程度でGoogleが再クロールして警告が解除されます

👉 補足

サイト訪問者を守るため、必ず修復完了後に申請してください

早ければ1日以内に解除されることもあります。

6. Googleへの報告方法

Googleへの報告は複数個所あります。

特にGoogle Platform自体が世界的な規模なので、対応範囲の幅も広範囲です。

一つ一つの理解に時間がかかるので、落ち着いて対応することが大切です。

不正コードの被害に遭った場合、状況によって Google への報告先が異なります。

✅ マルウェア感染・改ざんの場合

Google Search Console にログイン

左メニュー → 「セキュリティと手動による対策」 → 「セキュリティの問題」

サイトを修復後、「審査をリクエスト」して再チェックを依頼します

👉 サイト訪問者への警告（赤い画面）が解除されるのはこの申請です。

✅ 著作権侵害・違法コンテンツの場合

Google法的削除リクエストフォーム から報告します

👉 自分の著作物が無断転載されたなど「法律的に削除してほしいケース」に使います。