ハッキングされたサイトの復旧事例をご紹介します

今日では、ハッキングされるウェブサイトの数は、1 日あたり数千に及ぶと言われています。ハッキングされたサイトは、ユーザーに悪意のあるソフトウェアを配布する、ユーザーの個人情報を収集する、ユーザーをまったく別のサイトにリダイレクトするなどの方法で、ユーザーに危害を加えるおそれがあります。もしサイトがハッキングされたら速やかに復旧したいものですが、その方法は単純ではありません。

Google では、サイトがハッキングされた場合にできるだけ簡単に復旧できるよう、セキュリティの問題ハッキングされたサイトに関するヘルプハッキングされたサイト専用のフォーラムなどを提供しています。最近、ハッキングされた 2 つのサイトのウェブマスターの方に、どうやってサイトを復旧したかについてお話を伺う機会がありました。こうした事例をご紹介することで、ハッキングの被害にあったウェブマスターの皆様がサイトの復旧を行う際のヒントになれば幸いです。

事例 1: レストランのウェブサイトがハッキングされ、複数のスクリプトが挿入された

このレストランでは Wordpress でウェブサイトを作成していましたが、ある日サイトがハッカーによって改ざんされたことを警告する Google からのメッセージがウェブマスター ツール アカウントに届きました。Google では検索ユーザーを保護するため、このウェブサイトがハッキングされたことを示すラベルを Google 検索結果に表示しました。このサイトのウェブマスターであるサムさんがソース コードを確認したところ、「viagra(バイアグラ)」、「cialis(シアリス)」などの薬剤用語を使った不審なリンクが数多く見つかりました。また、「buy valtrex in florida(バルトレックス 購入 フロリダ)」のような meta description タグが HTML 上に追加されているページも数多く見つかりました。さらには、多くのページに(HTML 内にも)非表示の div タグが挿入され、さまざまなページにリンクしていました。もちろん、これらはサムさんが追加したものではありません。

サムさんは、ハッキングされたコンテンツを可能な限り削除して再審査リクエストを送信しました。リクエストは承認されませんでしたが、Google からメッセージがあり、PHP ファイル(もしくは、その他のサーバー ファイル)内に不審なスクリプトが追加されていないか、.htaccess に変更が加えられていないか確認するようアドバイスされました。これらは、ハッカーがサイトを改ざんする際、スクリプトを追加するのによく狙うファイルだからです。通常、ハッカーはこのようなスクリプトを使って、ハッキングしたコンテンツを検索エンジンに対してのみ表示し、一般のユーザーにはそのコンテンツが表示されないようにしてしまいます。サムさんはすべての .php ファイルを確認し、ハッキング前にバックアップしておいたファイルと比較しました。その結果、footer.php、index.php、functions.php に新しいコンテンツが追加されていることが判明しました。これらのファイルをバックアップ ファイルで置き換えた後にハッキングされたコンテンツがそれ以上見つからないことを確認し、もう一度再審査リクエストを送信したところ、サイト内のハッキングされたコンテンツがすべて削除されていることを知らせる Google からの通知が届きました。

ハッキングされたコンテンツはすべて削除しましたが、サムさんとしては今後のハッカーの攻撃からサイトを保護しなければなりません。そこで以下の方法によりサイトを保護することにしました。
  • コンテンツ管理システム(WordPress、Joomla、Drupal など)を常に最新のバージョンに更新する(プラグインも忘れずに更新する)。
  • コンテンツ管理システムの管理機能を使用できるアカウントに、強度の高いパスワードを使用する。
  • コンテンツ管理システムでサポートされている場合は、ログインの 2 段階認証(英語)を有効にする(2 要素認証と呼ばれることもあります)。この方法は、パスワードの再設定に使用するアカウントにもおすすめします。GoogleMicrosoftYahoo(英語)など、ほとんどのメール プロバイダでサポートされています。
  • インストールされているプラグインやテーマが信頼できる提供元からのものであることを確認する。既にサポートが終了しているようなプラグインやテーマを使用し続けることは大変危険です。また、海賊版のプラグインやテーマには、ハッカーの侵入を容易にするようなコードが挿入されていることが多いようです。

事例 2: 事業用ウェブサイトに検出が難しいハッキングされたページが大量に見つかった

小規模事業主であるマリアさんは、管理しているウェブサイトがハッキングされていることを知らせるメッセージをウェブマスター ツールで受け取りました。メッセージには、ハッカーが追加したページの例として http://example.com/where-to-buy-cialis-over-the-counter/ が挙げられていました。ホスティング プロバイダに相談したところ、ホームページのソース コードを確認してくれましたが薬剤に関するキーワードは見つからず、http://example.com/where-to-buy-cialis-over-the-counter/ にアクセスするとエラー ページが返されるという状況でした。有料のマルウェア スキャン サービスも利用しましたが、サイト内に悪意のあるソフトウェアを見つけることはできませんでした。
その後、ウェブマスター ツールの Fetch as Google 機能を使用して、Google が例示した URL(http://example.com/where-to-buy-cialis-over-the-counter/)にアクセスしてみましたが何も返されませんでした。どうしようもないため再審査リクエストを送信したところ、不承認メッセージが届き、以下の 2 点を試すようアドバイスがありました。
  1. www のないサイト URL をウェブマスター ツールに追加する。これは、ウェブマスターが見落としがちなフォルダにハッカーのコンテンツが隠されている場合があるためです。

    http://example.com と http://www.example.com は同じサイトのように見えますが、Google ではこれらを別々のサイトとして処理しています。http://example.com は「ルート ドメイン」で、http://www.example.com は「サブ ドメイン」です。マリアさんは http://www.example.com は確認していましたが、http://example.com は確認していませんでした。しかし、ハッカーが追加していたページは http://example.com/where-to-buy-cialis-over-the-counter/ のような www のないページで、こちらを確認することが重要だったのです。マリアさんが http://example.com を確認したところ、ウェブマスター ツールの Fetch as Google 機能を使用してハッキングされたコンテンツを表示することができました。
  2. .htaccess ファイルに新たなルールが追加されていないか確認する。

    マリアさんが、ホスティング プロバイダにやり方を教わって .htaccess ファイルを確認したところ、次のような追加した覚えのない不審なコンテンツが追加されていました。

    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]
    RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)
    RewriteRule ^([^/]*)/$ /main.php?p=$1 [L]
    </IfModule>


    この mod_rewrite(英語)ルールはハッカーが挿入したもので、特定の検索エンジンから訪れたすべてのユーザーと検索エンジン クローラを、ハッキングされたコンテンツの生成元である main.php にリダイレクトしているものでした。このようなルールで、携帯端末でサイトにアクセスしてきたユーザーをリダイレクトすることも可能です。同じ日、最近のマルウェア スキャンによって、main.php ファイルに不審なコンテンツが見つかっていたことも判明しました。さらには、ウェブサイト開発ソフトウェアの FTP ユーザー領域に、不明なユーザーが登録されていることにも気付きました。
マリアさんは main.php ファイルと .htaccess ファイルを削除し、FTP ユーザー領域から不明なユーザーを削除しました。これにより、サイトのハッキングを止めることができたのです。

今後ハッキングされないための対策

  • サーバーへのファイル転送に FTP の使用を避ける。FTP では、パスワードをはじめすべてのトラフィックが暗号化されません。代わりに SFTP を使用することで、パスワードを含むすべてのトラフィックが暗号化され、盗聴者からデータを保護できます。
  • .htaccess のような重要なファイルへのアクセス権限を確認する。この点については、必要に応じてホスティング プロバイダに相談してください。.htaccess はサイトの改善や保護に使用する重要なファイルですが、このファイルへのアクセスを許してしまうとハッカーに悪用されるおそれがあります。
  • サイトを変更する権限のあるユーザーを確認できる場所(管理パネルなど)をこまめにチェックして、不明なユーザーが追加されていないかどうか確認する。
Google では、ウェブマスターの皆様のサイトがハッキングされないことを願っておりますが、万が一ハッキングされた場合はハッキングされたサイトに関するヘルプをご覧ください。ハッキングされたサイトを復旧するためのさまざまな資料が用意されています。それでもご不明な点がある場合や、他のウェブマスターと情報交換していただける場合は、ウェブマスター ヘルプ フォーラムをご利用ください(フォーラムに投稿する際やサイトの再審査リクエストを送信する際は、#NoHacked を含めるようにしてください)。

最後に、ハッキングによる被害はなかなか気づかないことも多いようです。サイトの不正なハッキングをいち早く見つけ、普段からサイトのセキュリティ強化を意識しましょう!

「Hosting Meetup @ Google」を開催しました!

Google は 5 月 15 日、ホスティング サービスの運営者のみなさまを対象にしたイベント「Hosting Meetup @ Google」を開催しました。今回は、そのイベントの様子をご紹介します。


ブログなどのホスティング サービスは、低コストで簡単に利用できることから広く利用されています。一方で、その利便性を悪用し、Google のウェブマスター向けガイドラインに違反するようなスパム目的に利用されるケースがあることもわかっています。

今回のイベントは、こうした背景から、Google 検索と相性のよいホスティング サービスの運営について考えることを目的として実施しました。

当日は、ウェブマスター ツールや構造化データ、複数デバイス対応などに関して、Google 検索と相性の良いホスティング サービス運営のためのヒントのご紹介と、ホスティング サービス上でよく見られるウェブマスター向けガイドライン違反(ウェブ スパム)について、その傾向や対処方法などをお話しました。



ホスティング サービスからウェブ スパムがなくなり、かつ、Google 検索と相性の良いサイト構築を心がけていただくことで、Google がホスティング上のサイトを見つけやすくなり、より多くの検索ユーザーがそうしたサイトを訪問する可能性が高まります。

そのための具体的なアクションとしては、

ウェブ スパムの削減について関連ヘルプ記事
  • スパム ポリシーの制定・見直し
  • スパムへの対処(サイトの自動生成の禁止。Captcha の導入、違反箇所の修正方法、スパム サイトへの対処方法など)
  • ユーザーへの啓蒙
  • ウェブマスター ツールをユーザーが利用できるようにする
Google と相性の良いサイトの構築のヒント
  • ウェブマスター ツールの活用
  • 構造化データの導入
  • 適切な複数デバイス対応
こういった内容をぜひサービスの運営に取り入れていただき、Google 検索と相性のよいサービスの運営を行っていただければと思います。

ホスティング サービスの運営者の方々からも Google のウェブマスター向けガイドラインについてのご質問や、スパムへの対処方法のベスト プラクティスについてのご質問など、数多くのご質問をいただき、非常に有意義な意見交換をすることができました。

ご参加いただきましたみなさま、ありがとうございました!


また、今回イベントに参加できなかったホスティング サービスのみなさまのために、同一の内容をテーマとしたウェブマスター ハングアウトを実施いたしますので、ぜひご参加ください。

イベント詳細
2014 年 6 月 10 日 12 時 ~ 12 時 30 分

あわせてホスティング サービスの運営者のみなさまを対象とした情報をまとめたサイトを設けました。今回のイベントでお話した内容や、関連する情報についてまとめて掲載しておりますのでぜひご覧ください。

今後も、ウェブマスター ハングアウトやGoogle+ Webmaster Japan コミュニティなどを通してウェブマスターのみなさまの疑問にお答えしたり、交流を図っていきたいと思いますので、ぜひご参加ください!

Google サーチ クオリティ チーム

再審査リクエストに関するウェブマスター ハングアウトを実施しました

日本のサーチ クオリティ チームは、再審査リクエストについて、みなさまからのご質問にお答えする Q&A 形式のウェブマスター ハングアウトを行いました。再審査リクエストの記述方法のポイントや誤解しがちな点などについて解説していますので、ぜひご覧ください。

ウェブマスター ハングアウトのイベント ページはこちら

また、再審査リクエストを行う際に参考となる情報をまとめました。再審査リクエストに一度で通るために、リクエスト送信前に上記動画とこちらの情報に目を通していただければと思います。
  • ヘルプ記事
  • ブログ記事
  • ウェブマスター ヘルプフォーラム
    • Google 社員によるウェブマスターの豆知識
    再審査リクエストについて、その対応方法などご不明な点がありましたら、ウェブマスター ヘルプフォーラムの再審査リクエスト専用カテゴリでご質問ください。

    サーチ クオリティ チームでは、これからもウェブマスター ハングアウトを実施していきます。今後の実施予定はWebmaster Japan コミュニティでお知らせしていきますのでぜひご参加下さい。また、過去のウェブマスター ハングアウトはこちらからご覧ください。

    ガイドライン違反を繰り返す SEO 業者への対応について

    このブログ上でも お伝え してきましたが、PageRank を渡すリンクを売買することは Google の ウェブマスター向けガイドライン(品質に関するガイドライン) に違反しています。サイトへの不自然なリンク が存在することを理由として 手動による対策 が施されている場合、該当するリンクをできるだけ削除する努力を行った上で、再審査を申請する ことができます。これにより、数多くのウェブマスターが手動による対策を解除されています。不自然なリンクを多数作成してしまった SEO 業者と粘り強く交渉し、解除に至った例もあります。

    しかし、中には悪質な SEO 業者が存在し、再審査リクエストを難しくしている例があるようです。下記のような例が報告されています。
    • 不自然なリンク操作を自ら行ったにもかかわらず、ウェブマスターからのリンク削除の依頼に応じない。
    • 手動対策によるサイトへの影響はないと主張し、ウェブマスター ツール上のメッセージを無視して、再審査リクエストを送信しないことを推奨してくる。
    • 対応するにあたり、法外な費用などを請求する。
    上記のような場合には、次の対応をお取りいただくことを強くおすすめします。
    • あなたのサイトに対して手動による対策が適用されている場合、必ず再審査リクエストを送信してください。
    • 再審査リクエスト送信時には、業者とのやりとりに関する詳細な情報をご記入ください。やむをえない場合は、リンクの否認 ツールを利用し、該当するリンクを無視するよう指定してください。お寄せいただいた情報に基づき、総合的に審査いたします。
    複数の再審査リクエストにおいて、特定の SEO 業者に関して幾度も同じ報告が見られる場合、Google は、ユーザーを守るために適切な調査を行い、しかるべき処置をとる可能性があります。サーチ クオリティ チームは、今後とも、ユーザーを守るために、検索結果からのスパムの排除に全力で取り組んでまいります。

    ウェブマスター ツールでの手動によるウェブスパム対策の表示

    Google では、ユーザーの検索結果から スパムを排除 することに日々全力で取り組んでいます。具体的には、ウェブスパム アルゴリズムの改善に加え、ウェブマスター向けガイドライン(品質に関するガイドライン) への違反に対する手動による対策も行っています。今回、ご自身のサイトで手動によるウェブスパム対策が実施されているかどうかを確認したいウェブマスターの方のお役に立つ新しい機能を公開しましたのでご紹介します。ウェブマスター ツールの手動対策ビューアには、ウェブスパム チームが手動で実施した、Google ウェブ検索結果でのサイトのランキングに直接影響する対策についての情報が表示されます。この機能を試すには、ウェブマスター ツール にアクセスし、[検索トラフィック] の下にある [手動による対策] をクリックしてください。

    ほとんどのみなさまには、「手動によるウェブスパム対策は見つかりませんでした。」というメッセージが表示されるでしょう。Google 検索のインデックスに関する最新の分析によると、Google で確認したドメインのうちウェブスパムとして手動でインデックスから削除されるドメインは 2% にも達しません。この「手動によるウェブスパム対策は見つかりませんでした。」というメッセージが表示された場合、そのサイトにはウェブスパムであることを理由にした、検索結果からの削除など手動による対策は実施されておらず、ランキングへの直接の影響もありません。

    手動によるスパム対策が実施されたごく一部のサイトについては、ウェブマスター ツールで既に通知されているはずです。通知は引き続き送信されますが、今後は手動対策ビューアで、 Google 内部のウェブスパム システムのデータをご自身で直接チェックすることもできます。ここで、例として、「ユーザー生成スパム」を理由として Google がサイトの特定のセクションに手動による対策を実施した場合、手動対策ビューアでどのように表示されるかについて紹介します:



    この例では、「サイト全体の一致」はなく、「部分一致」があると表示されます。「部分一致」とは、サイトの特定のセクションに限って手動による対策を実施したことを示します。この例で問題となっているのは、他のユーザーによって mattcutts.com/forum/ に投稿されたスパム コメントです。この問題を修正することで、Google 検索でのこのフォーラム(mattcutts.com/forum/)に対する手動による対策が解除されるだけでなく、ユーザー エクスペリエンスを向上させることもできます。[詳細] をクリックすると、トラブルシューティングに役立つ新しいヘルプ記事が表示されます。

    Google のウェブマスター向けガイドライン(品質に関するガイドライン) への違反をすべて修正したら、次に 再審査をリクエスト します。この新しい手動対策ビューアにより、再審査リクエストの手続きはさらに簡単に、かつスムーズになっています。[再審査リクエスト] ページにアクセスしたら、サイトに対する手動による対策の状況についてチェックが可能となります。そして手動による対策がサイトに適用されている場合のみ、再審査をリクエストできます。ガイドライン違反となるウェブスパムの問題がある場合は、[手動による対策] ページ上に [審査をリクエスト] ボタンが表示され、直接再審査リクエストを送信することが可能です。

    手動対策ビューアは、みなさまからご要望の多かった機能を実現したものです。この機能により、多くのウェブマスターのみなさまに少しでも心配する必要がないという安心感を提供できればと願っています。ウェブスパムの問題は実際には非常に少数ではありますが、今回お知らせした情報がスピーディーにトラブルシューティングを行う際の助けとなりましたら幸いです。ご不明な点については、ウェブマスター ヘルプフォーラム までお寄せください。

    不自然なリンク操作での再審査リクエストの注意点

    Google ウェブマスター フォーラムで、再審査リクエストに関する質問、特にサイトへのリンクの問題をどう扱うか、といった質問をよく見かけます。今回はよくある質問とそれに対してどう対応すればよいか、といったことを紹介しますので、ぜひ参考にしてください。

    再審査リクエスト はいつ送信すべきですか?
    Google のウェブマスター向けガイドラインの品質に関するガイドライン に違反した場合に、検索結果を不正なスパムから防ぐため、サイトに対して手動によるスパム対策が実施されることがあります。違反については、Google ウェブマスター ツール に送られるメッセージで確認できるほか、サイトの以前の所有者や委託している SEO 会社など他の人から知らされたりする場合もあります。手動によるスパム対策を解除するには、まず、品質に関するガイドラインに従ってサイトを修正してください。修正が完了し、現在のサイトが品質に関するガイドラインに違反していないことが確認できたら、再審査リクエストを送信してください。

    サイトが アルゴリズムの変更 による影響を受けていると思われる場合は、再審査リクエストを送信すべきですか?
    再審査リクエストは、手動によるスパム対策が実施されたサイトを対象としています。単にアルゴリズムの変更による影響を受けているだけであれば、解除の対象となる手動のスパム対策がないので再審査リクエストを送信する必要はありません。アルゴリズムの変更と手動による対策のどちらに関連するか不明で、かつ品質に関するガイドラインに違反していたと思われる箇所を修正した場合は、再審査リクエストを申請していただいてかまいません。

    サイトへのリンクの品質を確認するには、どうすればよいですか?
    Google ウェブマスター ツールの [サイトへのリンク] セクション には、あなたのサイトへのリンクのサンプルが多数表示されるため、最初にこちらを利用して調べることをおすすめします。特定の期間に SEO キャンペーンを実施した場合は、「最新のリンク」をダウンロードすると、その期間に作成されたリンクを確認しやすくなります。Google ウェブマスター ツールで表示されるリンクはサンプルですが、これを調査することによって解決すべき問題を見つけられるでしょう。たとえば、スパムの疑いのあるブログ コメントや自動生成されたフォーラム投稿、PageRank を転送するリンクを含んだテキスト広告などは 不自然なリンク と見なされる可能性が高く、Google の品質に関するガイドライン に違反します。個々の例や具体的なヒントについては、Google ウェブマスター ヘルプフォーラム で他のユーザーや経験豊富なウェブマスターからアドバイスを受けるようおすすめします。

    サイトへのリンクの品質が悪いときはどう対処したらよいですか?
    まず不適切なリンクを特定し、そのリンクを削除するか nofollow 属性を設定 することに最大限の努力を払ってください。どうしても削除も nofollow 属性もできないときにのみ リンクの否認ツール を使って、残りの不自然なサイトへのリンクに対処してください。URL 構造が複雑なサイトや、明らかなスパム サイトには、domain 演算子を使用してドメイン全体を否認することをおすすめします。たとえば、自動的に生成されたコンテンツのサイト や、編集されたコンテンツのほとんどない、品質の低いサイトなどです。詳しくは、否認ツールを使用する場合のよくある間違いに関する動画 をご覧ください。

    どれくらいの情報を再審査リクエストに記載すればよいですか?
    再審査リクエストの際に 詳細なドキュメント を提出していただくと、違反箇所を修正するために行ったウェブマスターの対応内容がわかり、再審査チームが調査しやすくなるためスムーズな審査につながります。共有ドキュメントへのリンクを含める場合は、そのリンクが誰からでもアクセスできるように設定 してください。記述方法につきましては、ウェブマスター フォーラムでも紹介していますので、そちら もご確認ください。

    再審査リクエストの処理にはどれくらい時間がかかりますか?
    手動によるスパム対策が行われたサイトの再審査リクエストは、Google 社員 によって処理されます。わたしたちは 迅速な対応 に努めており、通常は数日以内に処理されます。ただし、寄せられる再審査リクエストの数は変動が大きいため、いつまでに審査が終了するかお約束することはできません。

    再審査リクエストを送信するとどうなりますか?
    再審査リクエストを送信すると、まず、Google ウェブマスター ツールに自動的に確認のメッセージが届きます。リクエストが処理されると、その結果をお知らせするメッセージが届きます。ほとんどの場合、このメッセージは、手動による対策が取り消されたこと、あるいは、サイトが引き続き品質に関するガイドラインに違反していることのどちらかをお知らせする内容です。

    詳しい情報はどこで入手できますか?
    再審査リクエストについて詳しくは、こちらのヘルプ記事 をご覧ください。また、Google ウェブマスター ヘルプフォーラム では、詳しいディスカッションに参加したり、経験豊富なウェブマスターや Google 社員からアドバイスを受けたりすることもできます。ぜひご活用ください。


    ウェブマスター ハングアウト、始まりました!

    Google はこの度、ウェブマスターのみなさまをサポートする新しいチャネルとして、Google+ のビデオチャット機能であるハングアウトを利用したウェブマスター ハングアウトを開始しました。毎回トピックを設定し、事前に質問を集めるなど、みなさまにとって利用しやすいように、そしてより深いサポートができるような内容にしたいと思います。

    初回のウェブマスター ハングアウトは、トップレベル ユーザー の皆さんにも参加していただき、2013 年 2 月 6 日に行いました。当日の様子は こちらの動画 でご覧いただけますので、ぜひご確認ください(既に 1000 人以上の方々にご覧頂いています!)。



    次回のウェブマスター ハングアウトは、2013 年 3 月 6 日に行います。テーマは再審査リクエストです。以前にもブログ(再審査リクエストを送信する際にご確認いただきたいこと再審査リクエストへの回答が、より具体的になりました)や、フォーラム(Google 社員によるウェブマスターの豆知識: 再審査リクエストにまつわる誤解 Part 1Part 2Part 3)で再審査リクエストについてはいろいろご案内しておりますが、ここでは基本的な流れや書き方のポイント、そしてみなさんからのご質問に回答したいと思います。質問方法や、詳しい参加方法につきましては、こちら をご覧ください。

    今後のウェブマスター ハングアウトの告知は、ウェブマスター ヘルプフォーラム、Google+ の Google Japan for Business アカウント を通じて行われます。ぜひチェックしていてください。

    それではハングアウトでお会いしましょう!