Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

スパマーがサイトのハッキングでよく利用する手段

今後の攻撃からサイトを保護するには、サイトへの不正アクセスがどのように発生したかを把握することが重要です。このドキュメントでは、サイトへの不正アクセスにつながる可能性のあるセキュリティの脆弱性について説明します。

次の動画では、ハッキングの種類と、ハッカーがサイトを制御する方法について概説しています。

パスワードの不正使用

攻撃者は、正しいパスワードを推測できるまでさまざまなパスワードを試すことで、パスワードを入手する可能性があります。パスワード推測攻撃では、一般的なパスワードを試す、文字と数字のランダムな組み合わせをスキャンするなどの方法が使用されます。これを防ぐには、推測されにくい安全なパスワードを作成します。安全なパスワードを作成するためのヒントについては、Google のヘルプセンター記事をご覧ください。

次の 2 点に注意してください。

サービス間でパスワードを使い回さないようにします。攻撃者は、有効なユーザー名とパスワードの組み合わせを特定すると、できるだけ多くのサービスでその認証情報を試します。他のアカウントへの不正アクセスを防ぐため、一意のパスワードを使用してください。
Google 2 段階認証プロセスなどの 2 要素認証（2FA）を使用します。2FA では、テキストメッセージコードまたは動的に生成された PIN を使用して、認証情報の 2 つ目のレイヤを追加することで、攻撃者がアカウントにアクセスできないようにします。一部の CMS プロバイダでは、2FA の構成に関するガイダンスを提供しています。
- Joomla!
- WordPress
- Drupal

セキュリティアップデートの未適用

以前のソフトウェアバージョンには、攻撃者がサイト全体に不正アクセスできるようなリスクの高いセキュリティの脆弱性が存在する可能性があります。攻撃者は、脆弱性のある古いソフトウェアを積極的に探します。脆弱性を無視すると、攻撃のリスクが高まります。

次に例を示します。

ウェブサーバーソフトウェア（独自のサーバーをホストしている場合）。
コンテンツマネジメントシステム（CMS）。たとえば、 Wordpress、 Drupal、 Joomla! のセキュリティリリースなどです。
サイトで使用しているすべてのプラグインとアドオン。

安全でないテーマとプラグイン

CMS のプラグインとテーマは、便利な機能を追加します。ただし、古いテーマやパッチが適用されていないテーマやプラグインは、脆弱性の主な原因となります。テーマとプラグインを最新の状態に保ちます。メンテナンスされなくなったテーマやプラグインは削除します。

信頼できないサイトの無料のプラグインやテーマには十分注意してください。攻撃者は、有料のプラグインやテーマの無料版に悪意のあるコードを追加することがよくあります。プラグインを削除する場合は、無効にするだけでなく、サーバーからすべてのファイルを削除してください。

ソーシャルエンジニアリング

ソーシャルエンジニアリングは、人間の心理を利用してセキュリティを回避するものです。こうした攻撃では、ユーザーを欺いてパスワードなどの機密情報を提供させます。一般的なソーシャルエンジニアリングの手法の一つにフィッシングがあります。フィッシングでは、攻撃者は正当な組織を装ってメールを送信し、機密情報を要求します。

リクエスト元の身元が確実でない限り、機密情報（パスワード、クレジットカード番号、銀行口座情報、生年月日など）を共有しないでください。複数のユーザーがサイトを管理している場合は、ソーシャルエンジニアリングに対する意識を高めるためのトレーニングを実施してください。基本的なフィッシング対策のヒントについては、Gmail ヘルプセンターをご覧ください。

セキュリティポリシーの欠点

システム管理者である場合や、独自のサイトをホストしている場合は、セキュリティポリシーが不十分だと、攻撃者がサイトに不正アクセスする可能性があります。次に例を示します。

ユーザーが弱いパスワードを作成できるようにする。
必要のないユーザーに管理者権限を付与する。
HTTPS を有効にせず、ユーザーが HTTP を使用してログインできるようにする。
タイプチェックを行わずに、認証されていないユーザーからのファイルアップロードを許可する。

サイトを保護するためのヒントをいくつかご紹介します。

不要なサービスを無効にして、セキュリティ制御を強化したウェブサイトを構成します。
アクセス制御とユーザー権限をテストします。
ログインページなど、機密情報を扱うページには暗号化を使用します。
ログを定期的に確認して、不審なアクティビティがないか確認します。

データ漏洩

データ漏洩は、機密データがアップロードされ、一般公開されるように誤って構成された場合に発生します。たとえば、ウェブアプリケーションのエラーメッセージから構成情報が漏洩する可能性があります。悪意のあるユーザーは、「dorking」と呼ばれる手法を使用して、検索エンジンの機能を利用してこのデータを見つけることができます。

定期的にチェックを行い、機密データを制限することで、サイトから機密情報が漏洩しないようにします。Google 検索から緊急に削除する必要がある機密情報がサイトで見つかった場合は、 URL 削除ツールを使用してください。

スパマーがサイトのハッキングでよく利用する手段 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。