ハッキングされるサイトが増えています。
Googleの発表によると、ハッキングされるサイトの数は1日に数千単位。しかも、その数は180%に増加中で、ハッキングされたサイトからGoogleへの再審査リクエストも300%に増加しているとのこと。
そのためGoogleは、#NoHackedキャンペーンをおこない、ウェブマスターに対してハッキング被害を受けないための啓蒙活動やハッキングされた際の対処法などの情報を積極的に発信しています。もはや、人ごとではなくなったWebサイトのハッキングです。
そこで、今回はハッキングされないために事前にできる対策と、運悪くハッキングされた場合の対処法、Googleへの再審査リクエストについてまとめました。
知っておいて損はないと思いますのでご一読を。
ハッキングとは
ハッキングについて簡単におさらいです。
ハッキングとは、コンピュータやネットワークに関する高度な知識や技術を駆使して、コンピュータシステムにアクセスし、その構造を解析したり、改造を行ったりすることである。
ハッキングのうち、特に、コンピュータシステムへの不正侵入やプログラムの破壊、データの改竄・窃取などといった悪意のある行為は「クラッキング」と呼ばれる。こうしたクラッキング行為を指して「ハッキング」の語が用いられている場合もあるが、ハッキングの語そのものには、本来、特に善悪の価値が含まれてるわけではない。
ハッキングの目的
中国や北朝鮮のハッカーが他国のシステムに侵入して機密情報を引き出したり破壊するサイバー攻撃のニュースがたびたび報道されます。
ハッキングで狙われるのは「行政機関」や「大企業」。だから自分には無関係と思いがちですが、それは大きな間違いです。
ハッキングにもいろいろな目的があり、国の中枢機関にダメージを与えようとするテロ行為もあれば、自分が作ったマルウェア(悪質なコード)をばら撒いて喜ぶような愉快犯もいます。
しかし、ハッキングでもっとも多いのは金銭目的なのです。
金銭目的と言うと、ウィルスメールをばら撒いてクレジットカード情報、ID・パスワードを盗む大規模なハッカー事件が有名です。
しかし、昨今増えているハッキングは「SEO目的でソースコード内にリンクを潜らせる」、「リダイレクトで自サイトに誘導する」など、サイト内部を改ざんして儲けようとする小規模で悪質な手口が全世界的に増えています。(違法薬物販売、アダルトサイト、偽造品販売サイトが多い)
ハッキングによる被害とそのケース
ハッキングされると以下の様な被害を受けるケースがあります。
- ホームページの情報を改ざんされる
- サーバーに置いていたデータが破壊される
- 迷惑メールの中継地点にメールサーバーが悪用される
- IPアドレスがばれないように不正侵入の中継地点にされる(踏み台)
- プログラムを改ざんされて裏口から進入するルートが作られる(バックドア)
- etc
ハッキングされやすいサイト
ハッキングで狙われやすいのはセキュリティに脆弱性があるサイトです。
特にWebサイトを「オープンソース(CMS)で構築」、「無料スクリプト・無料ツールを利用」するなど、システムをバージョンアップせずに古いまま使い続けているサイトがハッカーに狙われやすいのです。
【無料システムで多いハッキング例】
- マルウェアやバックドアが仕掛けられた無料ツールをダウンロード
- WordPressの旧バージョン使用
- Movable Typeの旧バージョン使用
- Web Diary Professional(WDP)の使用
ハッキングされないためにおこなうこと
では、自社のWebサイトがハッキングされないようにするにはどうすれば良いのでしょうか。
ハッキングには、Webサイトのセキュリティの脆弱性を突いて進入するタイプと、ウィルスメールに感染させてバックドアを作り、そこから情報を盗み取り悪用するケースがあります。
そうさせないためには、以下のポイントに気を付ける必要があります。
アカウントのセキュリティ強化
Web上で使用するパスワードを複雑にする。(英字、数字、記号を組み合わせる)また、同じパスワードを別なネットサービスで使い回さない。定期的にパスワードの変更をおこなう。
使用するソフトウェアを最新にする
オープンソース(CMS)、外部ツール・スクリプトを使用する際には常に最新のバージョンにする。
デスクトップ上で使用するインターネットのブラウザ(特にInternet Explorer)やAdobe Flash Playerなどもパッチ(修正差分ファイル)を当てるなど最新バージョンに更新する。
ホスティング会社のセキュリティ対策をチェック
レンタルサーバーを利用する場合には、提供会社のセキュリティに対するポリシー、ハッキングに対してのガイドラインなどが明示されているかをチェックする。特に格安サーバーの場合には注意が必要。
利用しているホスティング会社のセキュリティ対応が甘い場合には乗り換えを検討する。
ファイアーウォールを構築する
ファイアーウォールとは、サイト内部のネットワークと外部ネットワークをつなぐ箇所に、不正侵入を防ぐための防火壁のようなソフトウェアを構築すること。
大規模サイトやたくさんの個人情報を預かるWebサイトを運営する場合は堅牢なファイアーウォールの構築は不可欠。
社内情報管理の徹底
社員が勝手に情報を持ち出しするのを防ぐためにアクセス制限する、社員が勝手にソフトウェアのインストール、アップデートができないように社内情報管理をルール化する。
セキュリティに対する社員の「リテラシーを高める」、「意識を高める」、「やってはいけないこと」の情報共有をおこなう。
ウィルスメールを開封しない
知らない相手から添付ファイル付きのメールが送られてきたら開かない。仕事のメールか判断がつかない場合には、添付ファイルをデスクトップに落としてスキャンするなどが必要。(バックドアと呼ばれる裏口を作られてハッキングされる)
メール内のリンクもクリックしない。(フィッシング詐欺により個人情報やログイン情報などを抜き取られることがある)
ウィルスソフトの導入
ウィルスソフトは、現在までに発見されたウィルスを検知する仕組み。そのため、最新のウィルスへの対応はウィルスソフトを導入すれば終わりではなく常に最新版に更新しておく。
もし、ウェブサイトがハッキングされたら
もし、ウェブサイトがハッキングされた場合にそれをいち早く知らせてくれるのがGoogleです。
Googleはウェブサイトがハッキングされた場合の対処方法についても自サイトで詳しく解説しています。
Google Serach Consoleの確認
Googleのクローラは毎日ウェブサイト上を巡回していますが、そこでハッキングされているサイトを発見したらSerach Consoleへ「手動による対策」と題したメッセージを送って知らせてくれます。
このメッセージに書かれているGoogleからの情報は具体的かつ有益なものです。ここでの指摘をもとにハッキングの復旧作業を進めていき、再審査リクエストをおこなえば効率的なサイト復旧が可能になります。
以下、作業手順です。
サイトをオフラインにする
ハッキング被害の拡大を防ぐためにサイトをオフラインにします。(インターネットからの接続を遮断)
オフラインできない場合には503ステータスコード「503 Service Unavailable」を返します。(503はサーバーのリクエスト処理が失敗でサービス利用不可という意味)
被害状況の確認
ハッキングの目的と被害状況を調べます。データ改変の有無、不明なユーザーアカウントがないか、アップロードされたファイルの有無など。
そして、ハッカーが残した履歴、知らないユーザーアカウント、コマンド履歴などをチェックします。
サイトの復旧
不正なソースコード、不正ファイルが特定できたら削除対応していきます。データが改ざんされたか分からない、被害範囲が分からない場合にはバックドア(裏口)を無くすためにOSを再インストールする必要があります。
その際には、バックアップデータを使用して再インストールをおこないます。さらに、外部システムやツールを使っている場合には「最新版にアップデートする」、「パッチ(修正差分ファイル)を当てる」など最新の状態にします。
オンラインへ復旧
作業が完了したらオンラインに戻します。そして、Webサイトがハッキングから完全に復旧できたかを確認するためにSeach Consoleから「Google再審査リクエスト」をおこないます。
ハッキング手口の中には、人間の目視で判別できないファイルを隠す(クローキング)仕掛けがされていることがあります。
しかし、Googleクローラはこのクローキングも判別しますので、Googleに再審査リクエストを出すことにより、このクローキングやその他のハッキング内容を発見することができます。
【参考】:ウェブサイトがハッキングされた、さあどうする? - サイトがハッキングされた場合の対応方法 | Googleウェブマスター向け公式ブログ
自力で調査・復旧できない場合
もし、これらの一連の復旧作業を自力でできない場合には、WEB制作会社、SEO会社、ホスティング会社(サーバー会社)に確認して協力を仰ぎます。
それでも、復旧できない場合には専門のセキュリティ会社に相談するのが良いでしょう。
ハッキング時のGoogle再審査リクエスト
Googleはハッキング被害を減らすための取締りを強化しています。
表向きの理由はハッキング被害の拡大を防ぐためですが、本来の目的はハッキングによるSEOスパムの駆除です。検索結果への悪影響を避けたいというのが本音です。
そのため、この再審査リクエストでは迅速で親切なサポート対応をおこなっています。(再審査リクエストから早くて2,3日、スパム対策の場合でも1週間以内で回答するとしています)
その際には「ハッキングされた箇所」、「ハッキングの原因」など詳細な情報提供もおこなっています。ですので、運悪くハッキングされてもGoogleは非常に協力的にサポートしてくれます。
余談になりますが、Googleペナルティ解除のサポート対応とは大違いです…(苦笑)
【参考】:ハッキングされたサイトの復旧事例をご紹介します | Googleウェブマスター向け公式ブログ
まとめ
ハッキング怖いですね。自分とは無関係な話しだと思っていたらいつの間にか自社サイトがハッキングされていた…というのが昨今の状況です。
Googleはハッキングされたページを検索結果に表示しない(除外する)と先日発表したばかりですが、自社のWebサイトがハッキングされていたと気づかずに検索結果に長期間表示されていなかったでは悲劇です。大きなビジネス機会損失なのは言うまでもありません。
Search Consoleの定点観測をしっかりおこなうと共に、ハッキングされないための対策が必要ですね。