Webサイトの改ざんとは、第三者が不正にサイトへ侵入し、内容や設定を勝手に書き換えることです。怖いのは、見た目が変わらない改ざんが多いこと。気づかないまま自社サイトがウイルス配布や詐欺の踏み台にされ、お客様への「加害者」になってから発覚するケースが典型です。
この記事では、WordPressなどで自社サイトを運営する中小企業の経営者向けに、実際の国内事例、改ざんに気づくためのチェックポイント、もし改ざんされた場合の初動手順(やってはいけないことを含む)、予防策までを解説します。
Webサイトの改ざんとは?——見た目が変わるとは限らない
改ざんと聞くと「トップページが落書きされる」イメージが浮かびますが、現在の主流はむしろ逆で、発覚を遅らせるために見た目を変えない手口です。主なパターンは4つあります。
| パターン | 何が起きるか | 事業への影響 |
|---|---|---|
| 表示の書き換え | ページ内容が偽情報や無関係な内容に変わる | 信用毀損が直撃。取引先・顧客からの問い合わせ殺到 |
| 不正リダイレクト | 訪問者が詐欺サイトや偽通販サイトへ自動転送される | 顧客が二次被害に。Google警告で検索流入が消える |
| マルウェア設置・踏み台化 | 訪問者へのウイルス配布、迷惑メールの大量送信拠点にされる | 自社が「加害者」になる。ドメインやIPがブラックリスト入り |
| 情報窃取スクリプト | 入力フォームに盗み取りの仕掛けを埋め込まれる(Webスキミング) | 顧客のカード情報・個人情報が流出。賠償・報告義務 |
実際にあった国内の改ざん事例
近年、国内で報道された事例をいくつか挙げます(2026年7月時点で公開されている情報に基づきます)。
- 「破産手続き開始」の偽表示(2023年8〜9月)——飲食チェーン、コンサルティング会社、畜産会社など複数の企業サイトが相次いで改ざんされ、トップに「破産手続き開始」という虚偽の告知が表示された。会社の信用を直接攻撃するタイプの被害
- ECサイトのWebスキミングで国内初摘発(2023年11月)——改ざんされたECサイトに不正スクリプトが仕込まれ、購入者のクレジットカード情報が自動的に盗み取られていた事件で、国内初の摘発事例となった
- 大手製造業サイトの不正リダイレクト(2024年1月)——公式サイトの訪問者が、無関係なアラビア語の通販サイトへ自動転送される改ざん被害が発生した
報道されるのは知名度のある企業ですが、これは「大企業だけが狙われる」ことを意味しません。改ざんの多くはプログラムによる無差別スキャンで、穴のあるサイトが機械的に選ばれます。中小企業のサイトは報道されないだけで、同じ手口の被害は日常的に起きています。
なぜ改ざんされるのか——原因はほぼ2つに集約される
総務省の「国民のためのサイバーセキュリティサイト」は、ホームページ改ざんの主原因として「安易な管理者パスワード」と「既知の脆弱性の放置」を挙げています。高度なハッキング技術ではなく、基本対策の不備が入口になっているということです。
原因①:古いWordPress・プラグインの放置
公表済みの脆弱性は、攻撃者側に「手口の説明書」が出回っている状態です。更新が止まっているサイトは、この説明書どおりに機械的に侵入されます。WordPressの脆弱性の96%がプラグイン由来であることを含め、仕組みは別記事で詳しく解説しています。(関連記事:WordPressの脆弱性とは?放置リスクと経営者が取るべき対策)
原因②:弱いパスワード・使い回し
管理画面・FTP・サーバーパネルのパスワードが単純だったり、他サービスと使い回されていたりすると、総当たり攻撃や流出パスワードのリスト攻撃で突破されます。ユーザー名が「admin」のままのサイトは、攻撃の半分(ユーザー名の特定)が最初から終わっている状態です。
改ざんに「気づく」ための方法
改ざん被害の多くは、自社ではなく顧客やGoogleからの指摘で発覚します。発覚が遅れるほど被害と復旧費用は膨らむため、「気づく仕組み」自体が対策です。
経営者でも分かる、改ざんの兆候チェックリスト
- Google Search Consoleに「セキュリティの問題」の警告が届いている
- 自社名で検索すると、身に覚えのないページ(外国語・医薬品・カジノ等)が自社ドメインで表示される
- サイトを開くと一瞬別のサイトに飛ぶ、または「危険なサイト」の警告が出る
- WordPressの管理画面に、身に覚えのない管理者ユーザーがいる
- 自社ドメインから送った覚えのない迷惑メールの苦情が届く
- サイトの表示が急に極端に遅くなった・不自然に重くなった
ひとつでも当てはまる場合は、後述の初動手順に進んでください。
平時の点検——まず「入口が開いていないか」を無料で確認する
改ざんされてから気づくのではなく、改ざんに使われる「入口」が開いていないかを先に点検するのが予防の第一歩です。当サイトの無料診断は、URLを入力するだけで、設定ファイルの露出・ユーザー名の漏洩・古い設定など外部から確認できる17項目を点検し、危険度スコアを表示します。
もし改ざんされたら——初動の手順と「やってはいけないこと」

改ざんが疑われるときの初動は、火事の初期消火と同じで順序がすべてです。先に「広げない」、次に「残す」、直すのはその後です。
初動の5ステップ
- 公開を止める——サイトを一時非公開(メンテナンス表示)にして、訪問者への二次被害を止める。判断に迷ったらこの一手だけでも先に
- 証拠を残す——改ざんされた画面のスクリーンショット、サーバーのログ、ファイル一式を保全する。調査と警察相談に必要になる
- パスワードを全部変える——WordPress管理画面・FTP・サーバーパネル・データベース。ただし、作業用パソコン自体のウイルス感染が原因の場合があるため、感染チェックを済ませた端末から行う
- クリーンな状態に戻す——改ざん前のバックアップから復元し、原因になった穴(古いプラグイン等)を塞いでから再公開する
- 関係者に知らせる——個人情報流出の可能性があれば顧客への告知と個人情報保護委員会への報告を検討。警察(都道府県警察のサイバー犯罪相談窓口)とIPAへの届出も行う
クリーン化からGoogle警告の解除、営業再開までの詳しい復旧手順は、実務マニュアルとして別記事にまとめています。(関連記事:WordPressがハッキングされた時の復旧手順【5フェーズ】)
やってはいけない4つのこと
- 見た目だけ直して再公開する——書き換えられたページを直しても、侵入口と仕掛け(バックドア)が残っていれば数日で再発します。改ざんは「結果」であって「原因」ではありません
- ログやファイルを消す——原因特定と警察相談の手がかりを自分で消すことになります
- 原因不明のまま運用を続ける——「今は表示が正常だから」は安全の根拠になりません
- 公表を先延ばしにして隠す——顧客に実害が及ぶ類型(リダイレクト・情報窃取)で発覚が遅れると、信用毀損は改ざんそのものより大きくなります
改ざんは犯罪——相談先を知っておく
サイト改ざんは、不正アクセス禁止法違反や電子計算機損壊等業務妨害罪などに該当し得る犯罪行為です。被害に遭った場合は、都道府県警察のサイバー犯罪相談窓口(警察相談専用電話 #9110)に相談できます。あわせてIPA(情報処理推進機構)への届出制度もあります。
改ざんを防ぐ——中小企業がやるべき3層の予防策
- 穴を塞ぐ——WordPress本体・テーマ・プラグインの定期更新。使っていないプラグインは削除する
- 入口を固める——推測されにくいユーザー名・パスワード、可能なら二段階認証。FTPやサーバーパネルのパスワードも対象
- 備えと監視——定期バックアップ(改ざん前に戻れる世代数を確保)と、異常に気づける監視・改ざんチェックの仕組み
この3層を月次で回すのが「保守」です。自社でやる場合のチェックリストと外注する場合の選び方は、別記事にまとめています。(関連記事:WordPress保守とは?作業内容・費用相場・判断基準)
よくある質問
Q. サイトを改ざんされました。無料で調べる方法はありますか?
すでに改ざんが疑われる場合は、Google Search Consoleの「セキュリティの問題」とGoogleセーフブラウジングのサイトステータス確認が無料で使えます。まだ被害が出ていない段階なら、当サイトの無料診断で「侵入に使われる入口が開いていないか」を17項目で点検できます。ただし、感染済みマルウェアの完全な検出は外部からの無料チェックでは限界があり、専門調査が必要です。
Q. 改ざんの復旧費用はどれくらいかかりますか?
被害範囲によって幅がありますが、単純な復元で数万円、マルウェア駆除・原因調査を伴う復旧は数十万円規模になることがあります。クリーンなバックアップが残っているかどうかで費用は大きく変わります。IPAの調査では中小企業のインシデント平均被害額は73万円、復旧まで平均5.8日です。
Q. 改ざんした犯人は捕まりますか?どんな罪になりますか?
不正アクセス禁止法違反、電子計算機損壊等業務妨害罪などに該当し得ます。ただし攻撃元が海外のケースも多く、検挙より「これ以上被害を広げない・再発させない」ことを優先するのが実務的です。被害届・相談は都道府県警察のサイバー犯罪相談窓口へ。
Q. SSL(https)にしていれば改ざんは防げますか?
防げません。SSLは「通信の暗号化」であり、サーバー内部への侵入・書き換えとは別の話です。SSLは必須の基本対策ですが、改ざん対策としては更新・パスワード・バックアップの方が直接的です。
Q. サイバー保険は入るべきですか?
復旧費用・賠償・調査費用をカバーする保険は増えており、サイトが事業の入口になっている会社には検討の価値があります。ただし保険は「事後の金銭補填」であり、信用の毀損や営業停止期間は戻りません。予防(保守)とセットで考えてください。
まとめ——「気づける状態」を今日つくる
Webサイト改ざんは、見た目が変わらないまま進行し、顧客への加害という最悪の形で発覚しがちな被害です。原因の大半は「更新の放置」と「弱いパスワード」という基本の不備であり、裏を返せば基本で防げます。今日やるべきことは次の3つです。
- 兆候チェックリストを今すぐ確認する——特にSearch Consoleの警告と、身に覚えのない管理者ユーザー
- 無料診断で「入口」を点検する——URLを入れるだけ。攻撃に使われる穴が開いていないかを先に知る
- バックアップの世代数を確認する——「改ざん前に戻れるか」が復旧費用の分かれ目になる

この記事を書いた人
Spyral(スパイラル)/「サイトの主治医」運営 代表 佐藤 秀之
2011年創業、東京都八王子市。情報セキュリティコンサルティング会社でシニアコンサルタントを務めた後に独立し、中小企業のWEB集客・サイト運用を14年支援。ゼロトラスト・セキュリティの研究(Zero Trust Resilience Lab)と現場経験をもとに、WordPress保守・脆弱性診断サービス「サイトの主治医」を運営しています。運営者情報 →
本記事の事例・統計は2026年7月時点の公開情報(各社報道、総務省「国民のためのサイバーセキュリティサイト」、IPA「2024年度中小企業等実態調査」)に基づいています。法的な該当罪名は一般的な整理であり、個別事案の法的判断は弁護士・警察にご相談ください。
