マルウェアや望ましくないソフトウェア

Google では、ユーザー エクスペリエンスに悪影響を及ぼすソフトウェアやダウンロード可能な実行ファイルがウェブサイトでホストされていないかどうかを確認しています。サイトでホストされている不審なファイルはすべて、[セキュリティの問題] レポートで確認できます。

[セキュリティの問題] レポートを開く

概要

マルウェアおよび望ましくないソフトウェアは、ダウンロード可能なバイナリ、またはウェブサイトで実行され、ウェブサイトを訪問したユーザーに影響を与えるアプリケーションのいずれかです。

マルウェアとは

マルウェアとは、パソコン、モバイル端末、パソコンやモバイル端末で実行されているソフトウェア、パソコンやモバイル端末のユーザーに対して有害な影響を与えるために作成されたソフトウェアやモバイルアプリのことを指します。マルウェアがあると、ユーザーの同意なしにソフトウェアをインストールしたり、ウイルスのような有害なソフトウェアをインストールしたりするなど、悪意のある動作が実行されます。ダウンロード可能なファイルがマルウェアとみなされることをウェブマスターが気づかないこともあるので、こうしたバイナリを意図せずにホストしてしまうことがあります。

望ましくないソフトウェアとは

望ましくないソフトウェアとは、不正な行為や予期しない動作、ユーザーのウェブ閲覧やパソコン操作に悪影響を及ぼす動作を引き起こす実行ファイルやモバイルアプリのことを指します。たとえば、ユーザーが望んでいないにもかかわらずホームページ設定や各種ブラウザ設定を変更するソフトウェアや、ユーザーに対して適切に通知することなく個人情報を漏らすアプリなどが該当します。

  • 望ましくないソフトウェアからユーザーを保護するための Google の取り組みについて詳しくは、Google オンライン セキュリティ ブログの意図しないダウンロードに関する記事をご覧ください。

 

[セキュリティの問題] レポートでの「マルウェア」とは、ユーザーによる明示的な操作なしに動作するウェブベースのマルウェアを指します。「有害なダウンロード」とは、ユーザーによる明示的なダウンロード操作が必要となるマルウェアまたは望ましくないソフトウェアのダウンロードを指します。

ガイドライン

望ましくないソフトウェアに関するポリシーに違反していないことを確認した上で、下記のガイドラインを遵守してください。ガイドラインへの違反があると、アプリをダウンロードするときやウェブサイトにアクセスするときにユーザーに警告が表示されることがあります(ただし、下記のリストはすべての違反を網羅したものではありません)。サイトでホストされている不審なファイルはすべて、[セキュリティの問題] レポートで確認できます。

不当表示の禁止

  • ソフトウェアの目的や意図をユーザーに正確に伝えます。 ユーザーがソフトウェアをダウンロードする際は、ダウンロード内容を明瞭に示した適切な表示の広告をクリックすることによって、ダウンロード内容を適切に把握した状態で、自身の意思に基づきソフトウェアをダウンロードする必要があります。ユーザーをダウンロードに誘導する広告では、次のような不正行為や不正確な表示を行ってはなりません。
    • ダウンロードされるプログラムが Flash とは無関係であるにもかかわらず、広告で Flash のアップデートを主張する。
    • 広告に「ダウンロード」や「再生する」などの単語のみが記載され、広告対象のソフトウェアが明示されていない。
    • 「再生する」ボタンでダウンロードに誘導する。
    • サイト運営者のウェブサイトに似た外観を持ち、コンテンツ(動画など)の提供と誤認させて、実際には無関係のソフトウェアのダウンロードに誘導する広告。
    • Google のオンライン セキュリティのブログでソーシャル エンジニアリングに関する投稿をご覧ください。
  • 動作内容を正しく広告に表示します。 プログラムの機能と意図を明示する必要があります。プログラムでユーザーデータを収集したり、ユーザーのブラウザに広告を挿入したりする場合は、そうした動作を重要度の低い機能であるかのように記載せず、わかりやすい表現で明記します。
  • ソフトウェアによってブラウザやシステムがどのように変更されるかを、ユーザーに明確に説明します。 ユーザーがすべての重要なインストール設定や変更内容を確認したうえで承認できるようにします。プログラムのメイン ユーザー インターフェースでは、バイナリのコンポーネントとその主要な機能を明示する必要があります。バイナリでは、バンドルされたコンポーネントのインストールをユーザーが簡単にスキップできるようにする必要があります。たとえば、こうした設定を非表示にしたり、グレーアウトしたテキストを使用したりするのは、明示方法として不適切です。
  • 推奨のロゴ等は承認を受けている場合にのみ使用します。 他の企業のロゴを不正な方法で使用して、商品を正当化したり推奨したりしないでください。承認を受けずに政府機関のロゴを使用しないでください。
  • ユーザーに恐怖心を与えないでください。 ソフトウェアでは、ユーザーのマシンの状態を偽って伝えないでください。たとえば、システムのセキュリティが危険な状態にある、システムがウイルスに感染している、などとユーザーに伝えないでください。ソフトウェアで提供していないサービスや提供できないサービスの提供(「パソコンを高速化します」など)を主張しないでください。たとえば、パソコンのクリーンアップ ツールや最適化ツールの広告の場合、「無料」ツールとして広告できるのは、広告に表示されているサービスやコンポーネントに対する課金が不要な場合に限られます。

ソフトウェアに関するガイドライン

  • Chrome の設定を変更するプログラムの場合は Google の Settings API を使用してください。 ユーザーのデフォルトの検索設定、起動ページ、新しいタブの画面に対する変更はすべて Chrome Settings Override API を介して行う必要があります。これを行うには Chrome 拡張機能を使用する必要があり、また拡張機能のインストール フローに準拠する必要があります。
  • ブラウザとオペレーティング システムのダイアログでユーザーに適切に通知が表示されるようにしてください。 ブラウザやオペレーティング システムからユーザーに表示される通知(特に、ブラウザや OS に対する変更をユーザーに伝えるもの)は非表示にしないでください。
  • コードへの署名をおすすめします。 バイナリが未署名であることは望ましくないソフトウェアとしての判断理由とはなりませんが、コード署名機関によって発行された、確認済みの有効なコード署名(確認可能な公開元情報が記載されたもの)をプログラムに含めることをおすすめします。
  • TLS 接続や SSL 接続によるセキュリティや保護手段の効果を低下させないでください。 アプリケーションでルート認証局証明書をインストールすることはできません。エキスパートによるソフトウェアのデバッグや調査を目的とした場合を除き、ソフトウェアで SSL 接続や TLS 接続を傍受することはできません。詳細については、関連する Google セキュリティ ブログの記事をご覧ください。
  • ユーザーのデータを保護します。 ソフトウェア(モバイルアプリを含む)がユーザーの個人データをサーバーに送信できるのは、その個人データがアプリの機能に関係しており、かつ、個人データを送信することをユーザーに対して適切に説明していて、データ送信を暗号化している場合に限られます。
  • 害を及ぼさないようにします。バイナリを使用する場合、ユーザーのブラウジング エクスペリエンスを尊重し、有害な影響を及ぼすことのないようにする必要があります。サイトでダウンロード可能なバイナリについて、次のような基本的なポリシーを遵守していることをご確認ください。
    • ブラウザのリセット機能を阻止しないこと。Chrome のブラウザ設定のリセットボタンについてご確認ください。
    • 変更を設定するときに、ブラウザやオペレーティング システムのユーザー インターフェース コントロールをバイパスしたり非表示にしたりしないこと。プログラムでは、ブラウザ設定の変更が発生する場合、ユーザーにその変更についての通知やコントロールを適切に提供する必要があります。Chrome の設定を変更するには Settings API を使用します(こちらの Chromium ブログの投稿をご覧ください)。
    • Google Chrome の機能を変更する場合は拡張機能を使用し、他のプログラマティックな手段によりブラウザの動作を変更しないこと。たとえば、プログラムで DLL(ダイナミック リンク ライブラリ)を使ってブラウザに広告を挿入することや、トラフィックを阻害するプロキシを展開すること、LSP(レイヤード サービス プロバイダ)を使ってユーザーの操作を妨害すること、Chrome バイナリにパッチを適用して各ウェブページに新しいユーザー インターフェースを挿入することなどは避けてください。
    • 製品やコンポーネントの説明でユーザーに恐怖心を与えたり、虚偽の表記や誤解を招く表現をしたりしないこと。 たとえば、製品において、システムのセキュリティ状態の危険度やウイルス感染の有無などについて、虚偽の内容を伝えないでください。また、レジストリのクリーンアップ ツールのようなプログラムにおいて、ユーザーのパソコンや端末の状態を警告するメッセージを表示したり、パソコンを最適化できると主張したりしないでください。
    • アンインストールのプロセスは、確認しやすく簡単なものとし、脅しを伴わないようにすること。プログラムでは、ブラウザやシステムを以前の設定に戻すための手順を明示する必要があります。アンインストーラにより、すべてのコンポーネントが削除されるようにしてください。また、アンインストーラでは、ユーザーにアンインストール プロセスの続行をやめさせるようなこと(たとえば、該当のソフトウェアをアンインストールした場合にユーザーのシステムやプライバシーに悪影響が及ぶ可能性があることを示す、など)はしないでください。
  • バンドルする他のソフトウェア コンポーネントも上記を遵守したものとします。 ソフトウェアが他のソフトウェア コンポーネントをバンドルしている場合は、すべてのコンポーネントが上記の各項目に違反していないことを確認する必要があります。

Chrome 拡張機能に関するガイドライン

  • すべての拡張機能は情報の開示と Chrome へのインストールにおいてポリシーを遵守する必要があります。 拡張機能は、Chrome ウェブストアでホストし、デフォルトで無効化し、かつ Chrome ウェブストアのポリシー単一の目的に関するポリシーを含む)を遵守していなければなりません。プログラムから拡張機能をインストールする場合は、公認の Chrome 拡張機能インストール フローを使用する必要があります。このフローでは Chrome 内で拡張機能の有効化を求めるプロンプトがユーザーに表示されます。設定の変更をユーザーに通知する Chrome のダイアログを拡張機能で非表示にすることはできません。
    拡張機能のインストールの承認をリクエストする Chrome のポップアップ。
  • Chrome 拡張機能の削除方法をユーザーに明示します。 ユーザーがプログラムをアンインストールする際には、そのプログラムと一緒にインストールされたものもすべて削除されるようにすることが重要です。アンインストールのフローに、ユーザーが自身で拡張機能を無効にして削除するための手順を含める必要があります。
  • バイナリを使用してブラウザのアドオンをインストールする場合や、デフォルトのブラウザ設定を変更する場合は、ブラウザでサポートされているインストールのフローや API に準拠する必要があります。たとえば、バイナリを使用して Chrome 拡張機能をインストールする場合、その拡張機能は、Chrome ウェブストアでホストし、Chrome のデベロッパー プログラム ポリシーを遵守する必要があります。Chrome のその他の拡張機能配信方法に関するポリシーに違反する Chrome 拡張機能をインストールした場合、そのバイナリはマルウェアと判断されます。

モバイルアプリに関するガイドライン

  • データを収集する意図をユーザーに伝えます。 データ(サードパーティのアカウント、メール、電話番号、インストール済みのアプリ、モバイル端末上のファイルに関するデータなど)の収集を開始する前に、ユーザーがこれに同意できる機会を提供してください。収集したユーザーの個人データや機密データについては、最新の暗号化技術を使用して(たとえば、HTTPS 経由で)転送するなど、セキュリティを確保します。Play 以外のアプリでは、データ収集に関するユーザー向けの説明をアプリに掲載する必要があります。Google Play アプリでは、Play のポリシーに準拠した説明を掲載します。公開されているアプリの用途から外れるようなデータは収集しないでください。

  • 別のブランドやアプリに見せかけないでください。ユーザーを混乱させるような方法で別のブランドやアプリに似せた、不適切な、または認可を得ていない画像やデザインを使用しないでください。

  • アプリのコンテキスト内ですべてのコンテンツを使用してください。他のアプリに干渉したり、アプリ自体のコンテンツまたは機能の範囲外でユーザーに広告や追加コンテンツを表示したりすることはおやめください。

  • アプリはユーザーに示した機能を実行できる必要があります。提示されている機能はすべて、ユーザーがアプリで利用できる必要があります。アプリでは、コンテンツは更新できますが、ユーザーに通知し同意を得ることなく追加アプリをダウンロードすることはできません。

  • 明確な動作を心掛けてください。アプリの用途として明示されている場合を除き、他のアプリやそのショートカットをアンインストールしたり、置き換えたりすることはできません。アンインストールでは、すべてを削除し完全に行う必要があります。端末の OS や他のアプリに見せかけたプロンプトを使用することはできません。

問題の解決方法

サイトやアプリが上記のガイドラインを遵守していることを確認したうえで、[セキュリティの問題] レポートから審査をリクエストしてください。

モバイルアプリで警告が表示される場合、アプリの確認と異議申し立ての手順についてご確認ください。

 

この記事は役に立ちましたか?
改善できる点がありましたらお聞かせください。