アクセスアップ・SEO対策Wiki

マルウェアへの感染を防ぐには、絶えず警戒する必要があります。この記事では、マルウェアへの感染を防止するためのヒントや指針をご紹介します。ただし、これらは決して完全なものではありません。さらに徹底した調査を行うことをおすすめします。

ウェブマスター ツールのさまざまな機能を使用して、潜在的な問題を特定することができます。次に例を示します:

• Google で site: 検索を行い、インデックスに何が登録されているかを確認します。常にサニティ チェックを行ってサイトを正常な状態に保つことをおすすめします。site: 検索演算子を使用すると、指定したサイト内に検索を制限できます。たとえば、site:googleblog.blogspot.com で検索すると、Google の公式ブログ内のみを検索した結果が返されます。

• [検索クエリ?] ページには、サイトで重要だと Google が判断したキーワードの一覧が表示されます。予想外のキーワード（「バイアグラ」など）が表示された場合、そのページのセキュリティはおそらく侵害されています。

• [健全性] の [マルウェア] ページには、悪質なコードが含まれていると特定された、サイト内のサンプル URL が表示されます。可能な場合、このページには問題のあるコードのサンプルも表示されます。

• Fetch As Google? ツールを使用すると、Google のクローラと同じようにページを見ることができます。ページが感染した疑いがある場合は、このツールを使用して Googlebot でどのように見えるかを確認できます。

• サイトでマルウェアが検出された場合、Google はウェブマスター ツールのホームページで通知し、メッセージ センターにメッセージを送ります（メッセージ センターのメッセージを自分のメール アカウントに転送?すると、通知をすぐに確認できます）。

サイトを定期的に監視するだけでなく、次の項目も実行することをおすすめします:

すべてのウェブマスター

• 強力なパスワードを選択します。Gmail のガイドラインを参考にしてください。

• サードパーティのコンテンツ プロバイダを慎重に選択します。サードパーティが提供するアプリケーション（ウィジェット、カウンタ、広告ネットワークなど）のインストールを検討している場合は、十分に調査してください。広告スペースのコンテンツがウェブサイトの所有者が知らない第三者から提供されることはよくあります。ウェブには優れたサードパーティ コンテンツが多数存在しますが、その一方で、コンテンツ プロバイダがアプリケーション（危険なスクリプトなど）を使用してセキュリティの弱点を突き、サイトの訪問者に損害を与える可能性もあります。信頼できる提供者からのアプリケーションであることを確認してください。サポート情報や連絡先情報が記載された正規のウェブサイトがあるかどうか、他のウェブマスターがそのサービスを使用しているかどうかなどを確認します。

• ホスティング業者や公開プラットフォームにサポートを依頼します。ほとんどの会社では、迅速に対応する有用なサポート グループやセキュリティ ページを用意しています。セキュリティ ページやサイトに RSS フィードがある場合は、このフィードを登録して、常に最新情報を取得できます。

• パソコンを安全な状態に保ちます。特にウェブサイトで作業する場合は、ローカルのワークステーションで最新のソフトウェアを使用し、ウィルスやトロイの木馬のようなマルウェアの感染を避け、最新のアンチウィルス ソフトウェアをインストールしてください。

サーバーへのアクセス権があるウェブマスター

• サーバーの設定を確認します。Apache のサイトにはセキュリティ設定のヒント（英語）が記載されています。また、Microsoft のサイトには IIS の TechCenter リソースが用意されています。これらのヒントには、ディレクトリのアクセス権、サーバー側インクルード、認証、暗号化などの情報も含まれています。

• .htaccess ファイルのバックアップを作成します（または、ウェブサイトのプラットフォームに応じたアクセス制御メカニズムのバックアップを作成します）。以下の項目に失敗した場合は、このバックアップ ファイルを使用してシステムを復旧します。復旧が終わったら、バックアップ ファイルは削除してください。

• 最新のソフトウェア アップデートとパッチを使用して、最新状態を維持します。ウェブサイトの作成を容易にするツールは多数存在しますが、ツールが増えるとセキュリティ侵害のリスクも高まります。多くのウェブマスターによく見られるのは、フォーラムやブログをウェブサイトにインストールした後、その事実を忘れてしまうことです。インストールしたすべてのソフトウェア プログラムは常に最新の状態にしておくことが重要です。ウェブサイトで使用しているすべてのソフトウェアとプラグインをリストアップし、バージョン番号とアップデートを記録してください。すべてのウェブサイト コンポーネントを最新の状態に維持していても、ウェブ ホスティング サービスが最新のオペレーティング システム パッチをインストールしていなければ、ウェブサイトは攻撃を受けやすくなります。これは小規模なサイトだけの問題ではありません。銀行、スポーツ チーム、企業、政府などのウェブサイトでも注意が必要です。

• ログ ファイルを監視します。ログ ファイルの確認を習慣にすると、大きなメリットがあります。その 1 つにセキュリティの強化があります。たとえば、見慣れない URL パラメータ（「=http:」や「=//」など）や、サイトのリダイレクト URL に対するトラフィックの急激な増加は、ハッカーがオープン リダイレクト?を悪用している可能性を示しています。また、ハッカーはログ ファイルを改ざんすることがあるため注意が必要です。これらのファイルが攻撃されないように対策を講じてください。たとえば、これらのファイルをデフォルトの場所から移動すると、ハッカーに発見されにくくなります。

• サイトに一般的な脆弱性がないかどうかを確認します。ディレクトリにオープン許可を付与しないでください。これは、玄関のドアを開けっ放しにするようなものです。

また、XSS?（クロスサイト スクリプティング）（英語）や SQL インジェクション?（英語）の脆弱性も確認してください。

• 安全なプロトコルを使用します。データ転送には、Telnet や FTP のようなプレーン テキスト プロトコルではなく SSH や SFTP を使うことをおすすめします。SSH と SFTP では暗号化されるため、安全性が非常に高くなります。この他にも役立つ多数のヒントを、StopBadware.org のウェブサイトを保護するためのヒント（英語）で確認できます。

• 常に最新のセキュリティ ニュースを把握します。Google オンライン セキュリティ ブログ（英語）では、オンライン セキュリティと安全性についての役立つ情報や、他のリソースへのリンクを参照できます。米国政府サイトの US-CERT（米国コンピュータ緊急事態対応チーム）（英語）では、セキュリティに関する技術的な警告やヒントを参照できます。