ある人が、ウェブで特定の情報を探しているとします。SEO戦略が功を奏し、あなたのサイトが検索結果の上位に表示され、見込み客がリンクをクリック。しかし…「この先は詐欺サイトです」、「この先のサイトには有害なプログラムがあります」といった警告が表示されたらどうでしょうか。

もちろん、あなたは誰かをだまそうとしているわけではありません。では、なぜGoogleによって、あなたのサイトに、このような警告が表示されてしまうことがあるのでしょうか?

「この先は詐欺サイトです」という警告は、穏やかなものではありません。しかし、良いお知らせがあります。これには解決策があります。この警告の意味と、サイトから警告を取り除く方法については、続きをお読みください。

「この先は詐欺サイトです」という警告への対処方法を動画でもご紹介しています

「この先は詐欺サイトです」の意味

自分のサイトでこんな警告が表示されたら、ショックを受けるはず。「そんなはずはない」と自分に言い聞かせたくなるでしょう。というのも、危険なものなど組み込んでいないと「あなた自身は」わかっているのですから。

ただし、皆がそれを理解しているとは限りません。

「この先は詐欺サイトです」という内容の警告
「この先は詐欺サイトです」という内容の警告

大企業へのサイバー攻撃はニュースでよく目にしますが、中小企業にも起こりうることです。実際、情報漏えいの46%は中小企業で発生しています。

一般的なサイトのハッキング手法には、(サイト上にスパムページを作成する)「URL埋め込み」や、(キーワードや意味不明なテキストを追加する)コンテンツインジェクションなどがあります。

Googleから先の警告が表示された場合、サイトがハッキングされている可能性があります。また、Googleが好まない方法でサイトを構築してしまっている可能性もあります。

考えられる警告の理由は以下の通りです。

問題を解決するには、Googleにウェブサイトを「再送信」して、危険または詐欺サイトのフラグ解除を依頼する必要があります。作業自体は非常に簡単です。

ちなみにですが、サイトの問題が解決できたと確信できるまで、Googleにサイトの再送信を行わないでください(これについては後述します)。

サイトに表示される警告とその意味

Googleがウェブサイトに表示する警告は、「この先は詐欺サイトです」だけではありません。サイトをGoogleに再送信する、という解決策はどれにも言えることですが、それぞれの警告の意味は微妙に異なります。

警告の意味を理解することが、解決への第一歩です。そこで、代表的なものをいくつかご紹介しましょう。

「Deceptive Site Ahead(この先は詐欺サイトです)」

この警告は、特にフィッシングサイトの可能性があるウェブサイトについて言及しています。例えば、あなたのウェブサイトにあるように見えるものの、ユーザーの個人情報を盗むために使用されているページが考えられます。

「Site Ahead Contains Malware(この先のサイトにはマルウェアがあります)」

これは、ウェブサイトがサイト訪問者のコンピュータに有害なソフトウェアをインストールしようとしている可能性を示しています。マルウェアは、画像、サードパーティコンポーネント、広告などに埋め込まれることがあります。

「Suspicious Site(不審なサイト)」

この警告は、Googleが、サイトが疑わしい・安全でない可能性があると判断した時に表示されます。

「Site Ahead Contains Harmful Programs(この先のサイトには有害なプログラムがあります)」

この警告は、訪問者に危険なプログラムのインストールをさせようとするサイトである可能性が疑われた時に表示されます。

「This Page Is Trying to Load Scripts From Unauthenticated Sources(このページは未認証のソースからスクリプトを読み込もうとしています)」

朗報です。Googleにより、あなたのサイトに対してこの警告が表示されたとしても、おそらくハッキングの心配はいりません。これは通常、サイトがHTTPS接続を採用しているにもかかわらず、HTTPソースからスクリプトを読み込もうとしていることを意味します。

「Did You Mean [Site Name]?(”サイト名”のことですか?)」

サイト訪問者が似たような名前の別のサイトを探している可能性があると判断された場合、Googleによって、このメッセージが表示されます。ハッカーは、正規のサイトから文字やハイフンだけを抜いた偽サイトを作ることで、訪問者から個人情報を盗もうとすることがあります。

ちなみにですが、Google にこの問題についての見直しを依頼する手順は、他のものとは少し異なります。「[サイト名]のことですか?」という警告が表示された場合には、Googleのこちらのフォームを使用して事態を報告しましょう。

「Fraudulent Website Warning(詐欺サイトの警告)」(Safari)

Google Chromeは全世界のPCで77.03%というシェアを占めており、ブラウザの中では文句なしの王者ですが、他にもブラウザはあります。Safari(市場シェア8.87%)は、少し異なる表現でサイトの警告を表示します。

「Potential Security Risk Ahead(潜在的なセキュリティリスクあり)」(Firefox)

市場シェア7.69%で3番目に人気のあるブラウザFirefoxでも、警告が表示されることがあります。

SafariとFirefoxでは、Googleとは警告の表現が異なりますが、原因も対処法も同じです。

ウェブサイトの警告メッセージの解消方法

Googleにサイトを再送信して審査を受ける前に、セキュリティ上の問題が修正できていることを確認しましょう。

Google Search Console(旧称:ウェブマスターツール)は、このプロセスを助けてくれる、あなたの強い味方です。Google Search Consoleを使えば、技術的な専門知識を持っていなくても、あなたのサイトで何が起こっているかを簡単に把握することができます。

Google Search Console をまだセットアップしていないなら、今がその時です。完全に無料で利用でき、セキュリティ面での警告が解除された後も、サイトの監視、管理、改善に役立てることができます。

1.Google Search Consoleでセキュリティ問題レポートを見る

Google Search Consoleにログインします。Googleがセキュリティ面での問題を発見した場合、概要ページに「セキュリティの問題」レポートのリンクが表示されます。

Google Search Console─セキュリティ面での問題が検出されたことを示している
Google Search Console─セキュリティ面での問題が検出されたことを示している (画像出典:Search Engine Journal)

また、サイドバーの「セキュリティと手動による対策」「セキュリティの問題」から詳細を表示することもできます。

レポートに表示されるセキュリティ上の問題には、いくつかの可能性があります。Googleでは、問題を「ハッキングされたコンテンツ」、「ソーシャルエンジニアリング」、「マルウェアや望ましくないソフトウェア」の3つのグループに分類しています。それぞれについて、簡単に見てみましょう。

ハッキングされたコンテンツ

ハッキングされたコンテンツとは、サイトのセキュリティ上の脆弱性により、あなたの許可なく追加されたコンテンツのことを指します。例えば、ハッカーにより、ウェブページにスパムのようなリンクが追加されることがあります。

ハッキングされた場合、「セキュリティの問題」レポートには、次のような問題が表示されます。

  • マルウェア
  • コードの埋め込み
  • コンテンツの埋め込み
  • URLの埋め込み

ソーシャルエンジニアリング

ソーシャルエンジニアリングとは、サイト上のコンテンツが、訪問者に危険をもたらしたり、それを欺いたりすることを意味します。例えば、機密情報の取得を目的としたフォームなどが考えられます。

レポートにソーシャルエンジニアリングの問題が表示された場合には、以下のような原因が考えられます。

  • 偽装ページ
  • 詐欺的なリソースが埋め込まれている

マルウェアや望ましくないソフトウェア

この問題は、ユーザーに害を与える可能性のあるアプリケーションやダウンロード対応ソフトウェアがウェブサイト上にあることを意味します。サイト所有者の誤操作により(またはハッカーにより)それらがインストールされている可能性があります。

具体的には以下の問題が考えられます。

  • 悪質なダウンロードファイル
  • 悪質なダウンロードファイルのリンク

レポートに表示される問題をクリックして、詳しい情報を確認できます。

Googleの提示する対策は、かなり専門的になりがちです。多くの問題については、よりWordPress向けの解決策があります。それを使って、警告を解消することが可能です。

2.ウェブサイト上の悪質なコードの発見と削除

Kinstaでは、セキュリティ保持誓約をご用意しています。Kinstaをご利用であれば、お気軽にご連絡ください。以下を代行いたします。

  • サイトファイルのディープスキャンを行い、マルウェアを特定
  • WordPressコアファイルをインストールし直して修復
  • 感染したプラグインやテーマを特定し削除

他のレンタルサーバーをお使いであれば、バックアップの復元という手もあります。ただし、ウェブサイトのバックアップ作成後に加えた変更はすべて失われますので、その点にはご注意ください。

バックアップデータがない場合や、新しいコンテンツの消失を避けたい場合には、プラグインやサービスを利用することができます。

3.SSL証明書が適切にインストールされていることを確認する

SSLとは、Secure Sockets Layerの略です。ブラウザ・ウェブサーバーなどの2つのアプリケーション間で送信されるデータを暗号化し、認証するウェブセキュリティプロトコルです。

SSL証明書のインストールが不適切であることを原因として、ブラウザの警告メッセージが表示されることがあります。SSLチェッカーなどのツールで状態を確認することができます。

Kinstaをご利用のお客様のウェブサイトは、Cloudflare統合機能によって自動で保護されます。このセキュリティ強化策の一つが、ワイルドカード対応かつ無料でご利用いただけるSSL証明書です。

MyKinstaでSSL証明書をインストールする
MyKinstaでSSL証明書をインストールする

4.ウェブサイトをHTTPからHTTPSにリダイレクトする

SSL証明書によりHTTPS接続が有効になります。より安全で、SEOの面でも優位になり、より正確なリファラルデータの取得すら可能になるため、例外なく全てのサイトでHTTPS接続を使用すべきです。

とは言え残念ながら、HTTPからHTTPSに移行する過程で問題が発生することがあります。

すべてのHTTPトラフィックを恒久的にHTTPSにリダイレクトすることが重要です。HTTPS対応のサイトでありながら、一部のコンテンツが安全性の低いHTTP接続で読み込まれると、Googleが警告メッセージを表示することがあります。

Kinstaでは、「HTTPSリダイレクト」ツールを使用して、数回のクリックでHTTPトラフィックをHTTPSにリダイレクトすることができます。他のホストの場合、調整方法は使用するサーバーソフトウェアに依存します。

WordPressプラグインを使用して、ウェブサイトのHTTPS接続を設定することもできます。SSL証明書をインストールしたら、Really Simple SSLプラグインを入手します。

とはいえ、プラグインを永続的に使用することはお勧めしません。

サードパーティプラグインは、手っ取り早い解決策として魅力的かもしれませんが、余計なリスクが生じます。別の方法で問題解決に取り組む最中の「その場しのぎ」としては有用です。

Googleにサイトを再送信する方法

あなたのウェブサイトのセキュリティ上の問題を特定し、サイトをクリーンアップしました。さて、続いては何をすべきでしょうか?

Googleにサイトを再送信するには、ご存知の通り、Google Search Consoleを使用することになります。その方法を説明します。

ステップ1: 再送信するサイトの準備

ウェブサイトから問題のコンテンツを確実に削除しましょう。あらためて、セキュリティスキャンを実行してください。

問題が解決しないままサイトを再送信すると、審査に遅れが出てしまいます。

ウェブサイトの審査のためには、Googleがクロールできる状態である必要があります。noindexタグなどでGooglebotがブロックされないように気をつけましょう。

最後に(当たり前のように思えるかもしれませんが)基本的な部分のチェックです。ハッキングに対処するためにサイトを一度公開停止していたならば、Googleに確認してもらえるように、サイトを再び公開しましょう。

ステップ2: 審査を依頼する

Google Search Consoleに戻ります。「セキュリティの問題」レポートで、「再審査をリクエスト」ボタンをクリックします。

フォームには、問題解決のために行った事柄を記述します。検出されたセキュリティ上の問題点ごとに書くようにしてください。

例えば、「ハッキングされたコンテンツ」や「有害なダウンロード」についてのエラーが表示された場合であれば、次のように書くことができます。

コンテンツインジェクションについては、スパムコンテンツを削除し、WordPressプラグインを更新することで脆弱性に対処しました。有害なダウンロードファイルについては、サイトでマルウェアの不正ダウンロードを引き起こしていたサードパーティのコードを除去しました。

ウェブサイトが例えばフィッシングのフラグを立てられた場合、Google Search Consoleで説明されているように、こちらから審査を申請できます。

「Did You Mean [Site Name]?(”サイト名”のことですか?)」というメッセージが表示された場合は、Search Consoleではなく、このリンクからサイトの審査を申請してください。

ステップ3:結果を待つ

Googleによる審査にかかる時間は、セキュリティ上の問題の種類によって異なります。

  • スパムによるハッキング:数週間
  • マルウェア:数日
  • フィッシング:1日程度

Googleがあなたのウェブサイトが安全であると認めた場合、警告は72時間以内に削除されるはずです。

審査に通らなかった場合

問題が解決されていないとGoogleが判断すると、警告はそのまま表示されます。「セキュリティの問題」レポートには、悪質なコンテンツの追跡を助けるために、より多くのURL例が表示されるようになることがあります。

他のブラウザでの警告はどうなるのか

SafariやFirefoxでも警告が表示されている、という場合でもご安心ください。ブラウザごとに個別に審査を求める必要はありません。

Firefoxのセキュリティリスクに関する警告
Firefoxのセキュリティリスクに関する警告

FirefoxとSafari、および他の多くのブラウザは、危険なウェブリソースのリストであるGoogleセーフブラウジングリスト(頻繁に更新される)から情報を取得しています。(中国本土のユーザーは例外で、SafariはGoogleではなくTencentのリストを使用する可能性があります)。

Googleにより承認されれば、他のブラウザからも警告が消えます。

「Deceptive Site Ahead(この先は詐欺サイトです)」の警告が出るのを防止する方法

100%安全なウェブサイトはありません。ハッカーは日夜、新しい手口を開発しており、どのサイトも、次の犠牲者になる可能性があります。

とはいえ、サイバー攻撃の大半は、一定のベストプラクティスに従うことで防ぐことができます。

ここでは、警告ページが訪問者に表示されないようにするためのヒントをご紹介します。

最新の状態を維持する

CMSのコアプログラム、プラグイン、テーマなど、ウェブサイト上のあらゆるソフトウェアが最新であることが不可欠です。

各開発者は、新しく発見されたセキュリティの脅威に対応するために、ソフトウェアを更新し続けています。古いバージョンを使用すると、サイトに脆弱性が残ることになります。

WordPressサイトの更新を保留すると…
WordPressサイトの更新を保留すると…

ある調査によると、ハッキングされたWordPressサイトの49%は、感染時に古いバージョンのCMSを使用していたことが判明しています。

そして、忘れてはならないのがプラグインです。プラグインはWordPressサイトを強化する素晴らしい要素ですが、たくさん追加してそれっきりということも起こりがちです。

全てのプラグインが、ハッカーにとっての「裏口」となり得ます。できるだけ安全を確保するために、定期的にプラグインを更新し違法に配布されているプラグインは使わないようにしましょう。

WordPressのセキュリティプラグインを使用する

WordPressサイトのセキュリティを強化してくれるプラグインは、枚挙に暇がありません。

ただし問題があり、それの多くがサイトパフォーマンスの問題を引き起こします。そのため、Kinstaでは特定のプラグインの利用を禁止しています。

Kinstaをご利用であれば、無料のハッキング対処と標準搭載のセキュリティ強化策(MyKinstaで設定可能)により、サードパーティのセキュリティツールは不要です。

しかし、他のホスティングサービスをご利用であれば、WordPressプラグインの使用が必要となるかもしれません。その場合には、SucuriとWordfenceのいずれかをお勧めします。

Google Search Consoleを継続的にチェック

Google Search Consoleを利用していれば、セキュリティの問題に関する警告がメールで届きますが、時々チェックしておいて損はないでしょう。

さらに、Search Console には、サイトのパフォーマンスと検索エンジン最適化を支援する機能がたくさんあります。このツールをフル活用することで、あなたのウェブサイトはより良いものになるはずです。

アクセスを制限する

驚くほど多くのハッカーが、あまりにも単純な方法でウェブサイトへのアクセスを試みています。そう、パスワードの推測とその使用です。

サイトのログイン情報を誰が把握しているか、今一度確認しましょう。また、チーム全員がパスワードマネージャーの使用などのベストプラクティスに従っていること、フィッシングメールなどの詐欺を回避する方法を理解していることが欠かせません。

安全なサーバーを選択する

ウェブサイトの安全性を確保するために所有者にできることは、ある意味で限られています。サーバーレベルのセキュリティとなると、信頼できるレンタルサーバーを見つけることが重要です。

このような警告が表示されないようにするために、サーバー側でできることがいくつかあります。

まとめ

Googleによりサイトの警告が表示されるとヒヤヒヤするはずです。しかし、解決方法は難しくありません。警告メッセージは、サイトの何かしらの問題に対処する大事なきっかけになり得ます。

Google Search Consoleに登録し、定期的に確認することが、サイトを安全に見守る最善の策です。こうすることで問題発生時であっても、すぐに対処できます。

さらに重要なのが、セキュリティ上の問題を未然に防ぐことです。WordPressのセキュリティに関するベストプラクティスに従うことで、あなたのサイトの安全性とトラフィックを長期にわたり維持することができます。

セキュリティを重視したアプリケーションデータベースWordPress専用マネージドホスティングを利用することは非常に重要です。Kinstaのセキュリティについてはこちらをご覧ください。

Salman Ravoof

Salman Ravoof is a self-taught web developer, writer, creator, and a huge admirer of Free and Open Source Software (FOSS). Besides tech, he's excited by science, philosophy, photography, arts, cats, and food. Learn more about him on his website, and connect with Salman on Twitter.