Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

スパマーがサイトのハッキングでよく利用する手段

攻撃からサイトを守るためには、サイトへの不正アクセスがどのように発生したかを把握することが重要です。このページでは、サイトが危険にさらされる可能性があるセキュリティの脆弱性について説明します。

次の動画では、さまざまな種類のハッキングと、ハッカーがサイトを乗っ取る方法について説明しています。

パスワードの不正使用

攻撃者は、正しいパスワードを推測するまでさまざまなパスワードを試すことで、パスワード推測の手法を使用できます。パスワード推測攻撃は、一般的なパスワードを試したり、パスワードが見つかるまで文字と数字のランダムな組み合わせをスキャンしたりするなど、さまざまな方法で行われます。これを防ぐには、推測されにくい安全なパスワードを作成します。安全なパスワードを作成するためのヒントについては、Google のヘルプセンターの記事をご覧ください。

覚えておく必要がある重要な点が 2 つあります。まず、サービス間でパスワードを再利用しないことが重要です。攻撃者は、有効なユーザー名とパスワードの組み合わせを特定すると、その組み合わせをできるだけ多くのサービスで試そうとします。そのため、異なるサービスで異なるパスワードを使用すると、他のサービスの他のアカウントが不正使用されるのを防ぐことができます。

次に、Google の 2 段階認証プロセスなどの 2 要素認証（2FA）を利用できる場合は、利用します。2 要素認証では、通常はテキストメッセージのコードや動的に生成される PIN などの 2 つ目のログイン認証情報が使用されます。これにより、攻撃者が盗んだパスワードだけでアカウントにアクセスする可能性が低くなります。一部の CMS プロバイダは、2 要素認証を構成するためのガイダンスを提供しています。Joomla! のドキュメントをご覧ください。WordPress または Drupal。

セキュリティアップデートを行っていない

古いバージョンのソフトウェアは、攻撃者がサイト全体を侵害できるハイリスクのセキュリティの脆弱性の影響を受ける可能性があります。攻撃者は、脆弱性のある古いソフトウェアを積極的に探します。サイトの脆弱性を無視すると、サイトが攻撃される可能性が高まります。

常に最新の状態に保つ必要があるソフトウェアの例は次のとおりです。

独自のサーバーを運用している場合は、ウェブサーバーソフトウェア。
コンテンツマネジメントシステム（CMS）。例: Wordpress、Drupal、Joomla! のセキュリティリリース。
サイトで使用しているすべてのプラグインとアドオン。

安全でないテーマとプラグイン

CMS のプラグインとテーマは、価値のある拡張機能を追加します。ただし、古いテーマやパッチが適用されていないテーマやプラグインは、ウェブサイトの脆弱性の主な原因となります。サイトでテーマやプラグインを使用している場合は、常に最新の状態に保つようにしてください。デベロッパーによるメンテナンスが終了したテーマやプラグインを削除します。

信頼できないサイトの無料プラグインやテーマには十分に注意してください。攻撃者が有料プラグインやテーマの無料版に悪意のあるコードを追加するのは、よくある手口です。プラグインを削除する際は、無効にするだけでなく、サーバーからすべてのファイルを削除してください。

ソーシャルエンジニアリング

ソーシャルエンジニアリングとは、人間の本質を利用して高度なセキュリティインフラストラクチャを回避することです。このタイプの攻撃は、パスワードなどの機密情報を提供するよう、正規のユーザーをだまします。ソーシャルエンジニアリングの一般的な形態の 1 つがフィッシングです。フィッシング攻撃では、攻撃者は正当な組織を装ってメールを送信し、機密情報を要求します。

リクエスト元の身元が確実でない限り、機密情報（パスワード、クレジットカード番号、銀行情報、生年月日など）は絶対に提供しないでください。サイトを複数のユーザーが管理している場合は、ソーシャルエンジニアリング攻撃に対するセキュリティ意識を高めるためのトレーニングを実施することを検討してください。フィッシングに対する基本的な保護対策については、Gmail ヘルプセンターをご覧ください。

セキュリティポリシーの欠点

システム管理者の方や、ご自身でサイトを運営されている方は、セキュリティポリシーが不十分だと、攻撃者がサイトを不正使用する可能性があることにご注意ください。以下にいくつか例を示します。

ユーザーが安全性の低いパスワードを作成できるようにする。
管理権限を必要としないユーザーに管理権限を付与する。
サイトで HTTPS を有効にせず、ユーザーが HTTP を使用してログインできるようにしている。
未認証のユーザーからのファイルアップロードを許可する、または型チェックを行わない。

サイトを保護するための基本的なヒント:

不要なサービスを無効にして、ウェブサイトに高度なセキュリティ設定が構成されていることを確認します。
アクセス制御とユーザー権限をテストします。
ログインページなど、機密情報を扱うページには暗号化を使用します。
ログを定期的に確認して、不審なアクティビティがないか確認します。

データ漏洩

データ漏洩は、機密データがアップロードされ、構成ミスによってその機密情報が一般公開された場合に発生する可能性があります。たとえば、ウェブアプリケーションのエラー処理とメッセージングでは、処理されないエラーメッセージで構成情報が漏洩する可能性があります。悪意のあるユーザーは、「ドーク」と呼ばれる手法を使用して、検索エンジンの機能を悪用し、このデータを検索できます。

定期的なチェックを実施し、セキュリティポリシーを通じて機密データを信頼できるエンティティに制限することで、サイトで機密情報が不正なユーザーに公開されないようにします。サイトに機密情報が表示されており、Google 検索の検索結果から早急に削除する必要がある場合は、URL 削除ツールを使用して、Google 検索から個々の URL を削除できます。

スパマーがサイトのハッキングでよく利用する手段 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。