#NoHacked: 昨年を振り返って

2017 年 3 月 20 日（月曜日）

新しい年も安心、安全に過ごせますように。2016 年も #NoHacked キャンペーンを継続し、さまざまな取り組みを進めてきました。今回はそうした取り組みの一つをご紹介するとともに、ウェブサイト セキュリティの展望について少し考えてみたいと思います。まずは、昨年のハッキング事情から見てみましょう。

2016 年のウェブサイト セキュリティの概況

まずは悪いニュースから。2016 年にハッキングされたサイトの数は、2015 年に比べ 32% 増加しました。この傾向に歯止めがかかる兆しは見えません。新しい技術が生まれてウェブサイトが次々と旧式になっていく中で、ハッカーはさらに攻撃的になり、より多くのサイトをハッキングし悪用するようになっています。

明るいニュースは、再審査をリクエストしたウェブマスターの 84% がサイトのクリーンアップに成功していることです。しかしその一方で、サイトをハッキングされたウェブマスターの 61% が、Search Console での確認手続きを済ませていなかったために、ハッキング被害に関する Google からの通知を受け取っていませんでした。所有または管理しているサイトは、忘れずに Search Console に登録してください。Google からのサイトの状態通知は、まずは Search Console の登録に基づいて送信されます。

ハッキング被害にあったウェブマスターの支援を拡充

ウェブマスターの皆様からのフィードバックをもとに、セキュリティの問題が発生したサイトをどのように支援するのが効果的かを模索してきました。リクエストとして多かったのが、サイトのハッキングに関するわかりやすいドキュメントが欲しいというものでした。これを受け Google では、わかりやすいドキュメントの拡充に努めてきました。

まず、サイトに不正アクセスされたときに、状況をより的確に把握するための新しいヘルプ ドキュメントを作成しました。

• スパマーがウェブサイトのハッキングでよく利用する手段
• ハッキングされたサイトに関する用語集
• ハッキングされたサイトに関するよくある質問
• サイトがハッキングされているかどうかを確認する方法

次に、既知の手法でハッキングされたサイト向けのクリーンアップ ガイドを作成しました。サイトのハッキングでは、多くの場合よく似た手法が用いられます。それらの手法を詳しく調査することで、既知のハッキングについてタイプ別にクリーンアップ ガイドを作成しました。それぞれのガイドについて簡単にご説明します。

意味不明な内容によるハッキング:

意味不明な内容によるハッキングでは、キーワードが埋め込まれた意味不明なページがターゲット サイト内に大量に自動生成されます。このハッキングの目的は、ハッキングしたページを Google 検索の検索結果に表示し、訪れた人を無関係なページ（たとえばアダルトサイト）にリダイレクトすることです。このタイプのハッキングの解決方法はこちらをご覧ください。

日本語キーワードによるハッキング:

一般に、日本語キーワードによるハッキングでは、ランダムに生成されたディレクトリ名で、ターゲット サイト上に日本語テキストを含む新しいページが作成されます。こうしたページは、偽ブランド品を販売するストアへのアフィリエイト リンクを収益源としているのが特徴です。また、Google 検索の検索結果への表示も目的としています。ハッカーのアカウントがサイト所有者として Search Console に登録されているケースもあります。このタイプのハッキングの解決方法はこちらをご覧ください。

キーワードのクローキングによるハッキング:

キーワードやリンクのクローキングによるハッキングでは、意味不明な文、リンク、画像を含む大量のページが自動的に生成されます。これらのページには元のサイトのテンプレート要素が使用されていることがあるため、一目見ただけではターゲット サイトと区別がつきにくく、コンテンツをよく読むまで気付かないこともあります。通常このタイプのハッキングでは、クローキング手法を用いて悪意のあるコンテンツを隠し、挿入したページを元のサイトの一部として表示するか、404 エラーページを返します。このタイプのハッキングの解決方法はこちらをご覧ください。

鍵となるのは防止

どんな場合もそうですが、被害にあってから対処するよりも、予防手段を講じて安全を確保するほうが良いに決まっています。鎖の強度は、一番弱いつなぎ目で決まることをお忘れなく。サイトの脆弱性を特定する方法についてはこちらのガイドをご覧ください。コンテンツ管理システム（CMS）やその他ソフトウェアの開発元、ハードウェアの製造元などが提供する最新情報も定期的にチェックすることをおすすめします。

今後の展望

ハッキング手法は常に進化しており、最新の傾向を把握して対処するためには日々の研究が欠かせません。情報セキュリティ研究サイトでは、Google の最新の研究成果を公開しています。以下に、ウェブサイトへの不正アクセスに関する研究成果をいくつか紹介します。

• Cloak of Visibility: Detecting When Machines Browse a Different Web（英語）
• Investigating Commercial Pay-Per-Install and the Distribution of Unwanted Software（英語）
• Users Really Do Plug in USB Drives They Find（英語）
• Ad Injection at Scale: Assessing Deceptive Advertisement Modifications（英語）

また、サイトへの不正アクセスに関してフィードバックやご質問がありましたら、ウェブマスター ヘルプ フォーラムまでお寄せください。Google 社員やトップレベル ユーザーが質問に答え、必要に応じて技術的なサポートを提供しています。

投稿者: Wafa Alnasayan（Trust and Safety アナリスト）、Eric Kuan（ウェブマスター リレーションズ）