マルウェアへの感染を防止する

マルウェアへの感染を防ぐには、絶えず警戒する必要があります。この記事では、マルウェアへの感染を防止するためのヒントや指針を紹介します。ただし、これらは決して完全なものではありません。さらに徹底した調査を行うことをおすすめします。

サイトの状態を監視する

Search Console のさまざまな機能を使用して、潜在的な問題を特定できます。次に例を示します。

  • Google で site: 検索演算子を使用して検索してみてください。Google がサイトで検出したページを確認できます。これを定期的に実行して、予期しないページやコンテンツがサイトに組み込まれていないかどうかを確認することをおすすめします。不明なページや書き込んだ覚えのないトピックがサイトに見つかった場合は、ハッキングされている可能性があります。site: 検索演算子を使用すると、指定したサイト内に検索を制限できます。たとえば、site:developers.google.com で検索すると、Google Developers サイト内のみを検索した結果が返されます。
  • [セキュリティの問題] レポートには、Google がサイトで検出したハッキングされたページと、問題の修正方法が記載されています。
  • Google がサイトでマルウェアが検出した場合、通知が Search Console のメッセージ パネルに表示されます。メッセージが自分のメール アカウントに転送されるように設定すると、通知をすぐに確認できます。

セキュリティ チェックリスト

サイトを定期的に監視するだけでなく、次の項目も実行することをおすすめします。

すべてのウェブサイトの所有者

  • 強力なパスワードを選択します。Google アカウントのガイドラインをご確認ください。
  • サードパーティのコンテンツ プロバイダを慎重に選択します。サイト上のサードパーティのアプリと広告が、信頼できるサードパーティから提供されていることを確認します。信頼できる正規のサードパーティである場合、そのサードパーティのウェブサイトには、サポート情報や連絡先情報が記載されています。
  • ホスティング業者や公開プラットフォームにサポートを依頼します。ほとんどの会社では、迅速に対応する有用なサポート グループやセキュリティ ページを用意しています。セキュリティ ページやサイトに RSS フィードがある場合は、このフィードを登録して、常に最新情報を取得できます。
  • パソコンを安全な状態に保ちます。特にウェブサイトで作業する場合は、ローカルのワークステーションで最新のソフトウェアを使用し、ウイルスやトロイの木馬のようなマルウェアの感染を避け、最新のアンチウイルス ソフトウェアをインストールしてください。

サーバーへのアクセス権があるウェブサイトの所有者

  • サーバーの設定を確認します。Apache のサイトにはセキュリティ設定のおすすめの方法(英語)が記載されています。また、Microsoft のサイトには IIS の TechCenter リソースが用意されています。このおすすめの方法には、ディレクトリのアクセス権、サーバーサイド インクルード、認証、暗号化などの情報も含まれています。
  • .htaccess ファイルのバックアップを作成します(または、ウェブサイトのプラットフォームに応じたアクセス制御メカニズムのバックアップを作成します)。以下の項目に失敗した場合は、このバックアップ ファイルを使用してシステムを復旧します。復旧が終わったら、バックアップ ファイルは削除してください。
  • 最新のソフトウェア アップデートとパッチを使用して、最新の状態を維持します。ウェブサイトの作成を容易にするツールは多数存在しますが、ツールが増えるとセキュリティ侵害のリスクも高まります。多くのウェブサイトの所有者によく見られるのは、フォーラムやブログをウェブサイトにインストールした後、そのフォーラムやブログのことを忘れてしまうことです。インストールしたすべてのソフトウェア プログラムは常に最新の状態にしておくことが重要です。ウェブサイトで使用しているすべてのソフトウェアとプラグインをリストアップし、バージョン番号とアップデートを記録してください。すべてのウェブサイト コンポーネントを最新の状態に維持しても、ウェブ ホスティング サービスが最新のオペレーティング システム パッチをインストールしなければ、ウェブサイトは攻撃を受けやすくなります。これは小規模サイトだけの問題ではありません。銀行、スポーツチーム、企業、政府などのウェブサイトでも注意が必要です。
  • ログファイルを監視します。ログファイルの確認を習慣にすると、セキュリティを強化できるなど、大きなメリットがあります。たとえば、見慣れない URL パラメータ(=http:=// など)や、サイトのリダイレクト URL に対するトラフィックの急激な増加は、ハッカーがオープン リダイレクトを悪用している可能性を示します。また、ハッカーはログファイルを改ざんすることがあるため注意が必要です。これらのファイルが攻撃されないように対策を講じてください。たとえば、これらのファイルをデフォルトの場所から移動すると、ハッカーに発見されにくくなります。
  • サイトに一般的な脆弱性がないかどうかを確認します。ディレクトリへのアクセス権は、オープンにしないでください。これは、玄関のドアを開けっ放しにするようなものです。

    また、XSS(クロスサイト スクリプティング)(英語)や SQL インジェクション(英語)の脆弱性も確認してください。

  • 安全なプロトコルを使用します。データ転送には、Telnet や FTP のようなプレーン テキスト プロトコルではなく SSH や SFTP を使うことをおすすめします。SSH と SFTP では暗号化されるため、安全性が非常に高くなります。
  • 常に最新のセキュリティ ニュースを把握します。Google セキュリティ ブログ(英語)では、オンライン セキュリティと安全性についての役立つ情報や、他のリソースへのリンクを参照できます。米国政府サイトの US-CERT(米国コンピュータ緊急事態対応チーム)(英語)では、セキュリティに関する技術的な警告やおすすめの方法を参照できます。