Google検索結果で発見した「とある」サイト。この警告を見たら閲覧しない方が良いですね。ウェブマスターは早急に対処が必要です。今回は「このサイトは第三者によってハッキングされている可能性があります」と表示される検索結果が出た場合の影響と対処方法についてまとめリンク。

「このサイトは第三者によってハッキングされている可能性があります」と表示される検索結果
https://support.google.com/websearch/answer/190597?p=ws_hacked&rd=1

【目次】

 

警告が来る理由

この場合、以下の理由で早急に確認する必要があります。
1)自分が踏み台になって感染者を拡大している
2)リモートサイトとして他のサイトを攻撃している。
3)リンク先が不正なサイト。

外見上(ソース内と読み込まれているJavascript、リンク先)は特に問題がないように見えても、全く別の問題、サーバ自体の問題の可能性があります。また、正常な外部サイトにリンクしていたつもりがいつの間にかフィッシングサイトになっている事例もあるようです。

サイト管理者しか知り得ないサーバ内の不正な変更点もあるかも知れません。
いずれにせよ「Googleが誤って認識している。」可能性は低いようです。自サーバとファイル群を確認する事を強くお勧めします。
 

目に見える変化とは限らないので放置しない

見た目に問題が無いように思えても、以下の問題が発生している可能性があります。

・不正なサイトへリンクして(されて)いる。
・リンク先のサイトがハッキングされている。
・元から配置されていたJavascriptに実行可能な悪意ある小さなコードが埋め込まれている。
・特定のIPアドレスのみ他のページを見せたり、リダイレクトを行う。
・サーバの管理者権限を奪われている。(全く問題ないように見える)
・他のサーバを攻撃するためのツールが含まれている。
・いつでも侵入可能なバックドアが作られている。
・特定の感染したPCとペアリングされている。

サーバにアクセスしているPCが感染している可能性もあります。再感染を起こすので、PCも確認が必要です。
 

攻撃された可能性1:ゼロディ・エクスプロイト

2013年11月のWindows Updateで一つのゼロデイの脆弱性(MS13-090)が修正。
マイクロソフト セキュリティ情報 MS13-090 – 緊急 : ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (2900986)

■本格的に日本を襲い始めたAPT
http://blog.f-secure.jp/archives/50715372.html

最近の立て続けのサーバハッキングはこの脆弱性を突いて管理者のPCからFTPのアカウントが漏れたケースです。

攻撃された可能性2:ソーシャルネットワークの不正リンク

最近は、ソーシャルネットワークの発言やつぶやきを掲載している事も多いでしょう。意図せずソーシャルアカウントがハッキングされ、不正なリンクを掲示している場合、それが問題となるケースもあります。拡散するのはネタだけにしたいですね。

■ソーシャルネットワークのアカウントがハッキングされたらどうすべきか
http://intego-security.blogspot.jp/2013/10/blog-post.html
 

攻撃された可能性3:9.18 大規模攻撃

今回は政党関連のサイトで偶然見つけました。政党や議員のサイトは政治絡みで狙われやすいですね。管理者は一層の対策が必要です。

9.18のサイバー攻撃に関しての補足的情報(追記)
http://blog.f-secure.jp/archives/50711290.html

複数のウェブ改竄が確認され始めました。
ウェブサーバのコンテンツに日本を挑発するようなファイルがありましたら、侵入されている可能性大です。
例えば、Fuck-JP.html などです。
念のため、不審なコンテンツが追加されていないか確認されることを推奨します。

 

警告に対する対処

自分のサイトが上記のような警告を受けているならまずは以下の処置を取りましょう。
1)Google ウェブマスターツールに警告が来ていないか確認する。
Googleが警告している場合、ウェブマスターツールに通知が来ているはずです。
2013111302

■ウェブマスター ツールでメッセージを確認する
https://support.google.com/webmasters/answer/2739618?hl=ja

サイト認証自体を取り消していて、ウェブマスターツール自体に問題が生じている(攻撃者に移転されている)可能性もあります。正しいアカウントでログインして確認しましょう。

Googleアカウントがまだ無い場合はこちら。
https://accounts.google.com/SignUp

2)ホスティング事業者、サーバ管理者に通知する。
https://support.google.com/webmasters/answer/3011658?hl=ja
これ以降は信頼のおけるサーバ管理者に通知し、調査を依頼しましょう。

以降の手順に関しては以下のページの手順に従って下さい。
https://support.google.com/webmasters/answer/2600719?hl=ja&ref_topic=2600715
 

全ての問題が解決されたら再審査リクエスト

もし、フィッシング警告の誤りであった場合は、以下のフォームから訂正を依頼します。

■フィッシング警告の誤りを訂正
http://www.google.com/safebrowsing/report_error/

■再審査リクエスト
https://support.google.com/webmasters/answer/2600725
[セキュリティの問題] – [審査をリクエスト]

■再審査リクエストのリンクが無い場合(過去事例)
https://productforums.google.com/forum/#!msg/webmaster-ja/an-dNtFp0xI/sWaygo-sczwJ
 

ネット上の情報

ネット上の情報を見る限り、必ずしも「警告文面」と「本当の原因」は合致しないようです。しかし、問題が発生しているのは間違いなかったようです。

■警告メッセージ「ハッキングされている可能性があります。」について- Googleグループ
http://productforums.google.com/forum/#!msg/webmaster-ja/K6kukGZmVx8/bTrLMmRRznEJ

■ウェブマスターツールへ「サイトがハッキングされている可能性があります」という警告が届く -SEO Imagination !
http://holy-seo.net/blog/seo/warning-site-that-has-been-hacked/

■ハッキングされると本当大変…(/o\) Joomla!1.7格闘日記
http://denchari.sakura.ne.jp/blog/joomla17/154-fight30.html

■ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起
http://www.ipa.go.jp/security/topics/20091224.html
 

Google提供の情報

■ハッキングされたサイトに関するウェブマスター ヘルプ
http://www.google.co.jp/webmasters/hacked/

■被害を評価する(スパム)- ウェブマスター ツール ヘルプ
https://support.google.com/webmasters/answer/2600721

■被害を評価する(マルウェア)- ウェブマスター ツール ヘルプ
https://support.google.com/webmasters/answer/3024274?hl=ja&ref_topic=2600715

■Google検索での問題- ウェブマスター ツール ヘルプ
https://support.google.com/websearch/troubleshooter/3425345?hl=ja#ts=3111061
 

一人で対処しない。届け出る。

感染源はあなたのサーバの可能性もあります。必ずサーバ管理を行っているホスティング事業者やデータセンターに連絡を行い、問題の共有と解決のためにチームを作りましょう。

また、隠蔽して被害が拡大する事は避けて下さい。ユーザに対しては必ず警告と事実の掲載を行うようにした方が良いと思います。

■不正アクセスに関する届出について IPA 独立行政法人 情報処理推進機構
http://www.ipa.go.jp/security/ciadr/index.html

※他にも多くの情報をネットから確認する事が可能です。最新のアップデートを行いましょう。