マルウェアへの感染を防止する

マルウェアへの感染を防ぐには、絶えず警戒する必要があります。この記事では、マルウェアへの感染を防止するためのおすすめの方法や指針をご紹介します。ただし、これらは決して完全なものではありません。さらに徹底した調査を行うことをおすすめします。

サイトの状態を監視する

Search Console のさまざまな機能を使用して、潜在的な問題を特定することができます。例:

  • Google site: 検索を試し、Google がサイトで検出したページを確認します。これを定期的に実行して、予期しないページやコンテンツがサイトに組み込まれていないかどうかを確認することをおすすめします。不明なページや書き込んだ覚えのないトピックがサイトに見つかった場合は、ハッキングされている可能性があります。site: 検索演算子を使用すると、指定したサイト内に検索を制限できます。たとえば、site:googleblog.blogspot.com で検索すると、Google の公式ブログ内のみを検索した結果が返されます。
  • [セキュリティの問題] レポートには、Google がサイトで検出したハッキングされたページと、問題の修正方法が記載されています。
  • サイトでマルウェアが検出された場合、Google は Search Console のホームページで通知し、メッセージ センターにメッセージを送ります(メッセージ センターのメッセージを自分のメール アカウントに転送すると、通知をすぐに確認できます)。

セキュリティ チェックリスト

サイトを定期的に監視するだけでなく、次の項目も実行することをおすすめします。

すべてのウェブマスター

  • 強力なパスワードを選択します。 Google アカウントのガイドラインをご確認ください。
  • サードパーティのコンテンツ プロバイダを慎重に選択します。 サードパーティが提供するアプリケーション(ウィジェット、カウンタ、広告ネットワークなど)のインストールを検討している場合は、十分に調査してください。広告スペースのコンテンツがウェブサイトの所有者が知らない第三者から提供されることはよくあります。 ウェブには優れたサードパーティ コンテンツが多数存在しますが、その一方で、コンテンツ プロバイダがアプリケーション(危険なスクリプトなど)を使用してセキュリティの弱点を突き、サイトの訪問者に損害を与える可能性もあります。信頼できる提供者からのアプリケーションであることを確認してください。サポート情報や連絡先情報が記載された正規のウェブサイトがあるかどうか、他のウェブマスターがそのサービスを使用しているかどうかなどを確認します。
  • ホスティング業者や公開プラットフォームにサポートを依頼します。 ほとんどの会社では、迅速に対応する有用なサポート グループやセキュリティ ページを用意しています。セキュリティ ページやサイトに RSS フィードがある場合は、このフィードを登録して、常に最新情報を取得できます。
  • パソコンを安全な状態に保ちます。特にウェブサイトで作業する場合は、ローカルのワークステーションで最新のソフトウェアを使用し、ウィルスやトロイの木馬のようなマルウェアの感染を避け、最新のアンチウィルス ソフトウェアをインストールしてください。

サーバーへのアクセス権があるウェブマスター

  • サーバーの設定を確認します。 Apache のサイトにはセキュリティ設定のおすすめの方法(英語)が記載されています。また、Microsoft のサイトには IIS の TechCenter リソースが用意されています。このおすすめの方法には、ディレクトリのアクセス権、サーバー側インクルード、認証、暗号化などの情報も含まれています。
  • .htaccess ファイルのバックアップを作成します(または、ウェブサイトのプラットフォームに応じたアクセス制御メカニズムのバックアップを作成します)。以下の項目に失敗した場合は、このバックアップ ファイルを使用してシステムを復旧します。復旧が終わったら、バックアップ ファイルは削除してください。
  • 最新のソフトウェア アップデートとパッチを使用して、最新状態を維持します。 ウェブサイトの作成を容易にするツールは多数存在しますが、ツールが増えるとセキュリティ侵害のリスクも高まります。多くのウェブマスターによく見られるのは、フォーラムやブログをウェブサイトにインストールした後、その事実を忘れてしまうことです。インストールしたすべてのソフトウェア プログラムは常に最新の状態にしておくことが重要です。ウェブサイトで使用しているすべてのソフトウェアとプラグインをリストアップし、バージョン番号とアップデートを記録してください。すべてのウェブサイト コンポーネントを最新の状態に維持していても、ウェブ ホスティング サービスが最新のオペレーティング システム パッチをインストールしていなければ、ウェブサイトは攻撃を受けやすくなります。 これは小規模なサイトだけの問題ではありません。銀行、スポーツチーム、企業、政府などのウェブサイトでも注意が必要です。
  • ログファイルを監視します。 ログファイルの確認を習慣にすると、大きなメリットがあります。その 1 つにセキュリティの強化があります。たとえば、見慣れない URL パラメータ(「=http:」や「=//」など)や、サイトのリダイレクト URL に対するトラフィックの急激な増加は、ハッカーがオープン リダイレクトを悪用している可能性を示しています。また、ハッカーはログファイルを改ざんすることがあるため注意が必要です。これらのファイルが攻撃されないように対策を講じてください。たとえば、これらのファイルをデフォルトの場所から移動すると、ハッカーに発見されにくくなります。
  • }サイトに一般的な脆弱性がないかどうかを確認します。 ディレクトリにオープン許可を付与しないでください。これは、玄関のドアを開けっ放しにするようなものです。

    また、XSS(クロスサイト スクリプティング)(英語)や SQL インジェクション(英語)の脆弱性も確認してください。

  • 安全なプロトコルを使用します。 データ転送には、Telnet や FTP のようなプレーン テキスト プロトコルではなく SSH や SFTP を使うことをおすすめします。SSH と SFTP では暗号化されるため、安全性が非常に高くなります。この他にも役立つ多くの方法を、StopBadware.org のウェブサイトを保護するためのおすすめの方法(英語)で確認できます。
  • 常に最新のセキュリティ ニュースを把握します。 Google オンライン セキュリティ ブログ(英語)では、オンライン セキュリティと安全性についての役立つ情報や、他のリソースへのリンクを参照できます。米国政府サイトの US-CERT(米国コンピュータ緊急事態対応チーム)(英語)では、セキュリティに関する技術的な警告やおすすめの方法を参照できます。
この記事は役に立ちましたか?
改善できる点がありましたらお聞かせください。