Webサイトがマルウェアに感染した場合、検索結果や一部ブラウザからアクセスできなくなります。 これはGoogleも協力しているstopbadware.orgのデータを検索エンジンやブラウザが使ってマルウェア・ウィルス感染がさらに広がらないようにするセキュリティ対策です。
時々、検索結果でサイトがマルウェア扱いとなっているのを見ることがあるでしょう。しかし、実際にウイルスに感染した側の立場になることは少ないはずです。実験で感染サイトを放流して攻撃サイトを作るのも微妙ですので、試すのも難しいです。
2月上旬に友人の運営しているサイトがMalwareに感染してしまい、検索結果に下のような表示、「このサイトはコンピュータに損害を与える可能性があります」と表示される状況になりました。
私がGoogleウェブマスターツールでの対応をして復旧させたのですが、その際の挙動を公開しても良いという許可をもらえましたので、経緯と、気づいた点を書いておきます。
これは2月上旬段階の話で今は変わっているかもしれませんし、サイトの規模や状況によっていろいろと変わってしまうかもしれません。しかし、感染時にどうなるのかを共有している記事はあまり見ませんでしたので、少しはご参考になるかもしれません。万が一、自分のサイトが感染した時のために、どうぞご覧下さい。
マルウェア感染対応の経緯
感染したサイトは、友人が運営するWebサイト。約100ページのメインサイトと、サブドメインで展開されている400ページ強のブログ、別ドメインで展開されている300ページ弱のECサイトが含まれています。 今回、ブロックされていたのは、メインサイトとブログ。ドメイン全体がブロックされた形で、別ドメインは無傷でした。
検索結果でのブロック開始後数時間でその事に気付けました。おそらくは、マルウェア感染後半日も経っていないのでは、と思われます。
検索結果では「このサイトはコンピュータに損害を与える可能性があります」と表示されてアクセスできませんし、直接URLを叩こうとしてもマルウェア対策機能が付いているFirefox、Chromeともにアクセスできません。 Firefoxで開こうとすると「この Web ページ(URL)は攻撃サイトであると報告されており、セキュリティ設定に従いブロックされました。」というような表示でアクセスできなくなっています。 最新のブラウザでは、このようなマルウェアやバッドウェア、フィッシングサイトなどをブロックするようになっています。 ……ちなみに、私の環境のIE9ではアクセス出来ました。
慌ててFTP情報を持つ友人と手分けして作業を開始。ミイラ取りがミイラにならないよう注意しつつ問題を特定。HTMLファイルをダウンロード。マルウェアのコードを全部消して再アップロードをする作業を友人が開始します。
その間に、私の方でGoogleウェブマスターツールに新規登録。 登録した段階でこのようなアラート画面が表示されていました。
ウェブマスターツールのメッセージは届いておらず、Googleウェブマスターツールのトップと、このマルウェアページだけに警告が表示がされています。
その後すぐに友人の作業が終わり、マルウェアのコードを削除済な事を確認してマルウェア専用の再審査依頼を送信しました。
その後4時間経ちましたが検索結果でのブロックは解除されません。 再度Googleウェブマスターツールを見ると、上記画像の表示が少し変わって具体的に感染した1ページのURLが表示されていました。 初期には上のキャプチャのように感染していることだけが表示されますが、少し時間が経つと具体的にURLが出るようです。
確認するとそのページはまだ感染したままでした。
そのページの修正後、また再審査依頼を送ろうとしたものの「再審査依頼を受けたばかりなので受け入れられない。数時間待て」というようなメッセージが表示されて送信ができません。
マルウェアは削除済なので、再審査を送らなくても回復するかな?と思っていましたが、いつまで経っても検索結果・ブラウザでのブロックは継続しています。 結局、最初にマルウェアの再審査リクエストを送った12時間後にまた再審査依頼を送れるようになりましたので送信します。
その後、9時間後に検索結果でのブロックが解除され、ブラウザでのアクセスも可能になりました。 ブラウザでのアクセス可能化と、ほぼ同時刻でしたのでブラウザのマルウェアブロックに使われているstopbadware.orgのデータとGoogleのデータは連動しているのかと思います。
検索結果とブラウザでアクセスできる事を確認後Googleウェブマスターツールにログインすると、上の警告は消えていて下のようなアラートが「メッセージ」に到着していました。 解決後に確認できた、ちょっと遅い通知でした。
結局、ブロック開始後24時間強で復旧できたことになります。
マルウェア感染時のGoogle対応のポイント
マルウェア感染対応は今回が初めての経験でしたが、いくつか新しく発見したことがありました。 一度だけの経験ですので毎回同じようになるかはわかりませんが、感染した時のために覚えておいて下さい。
マルウェアの再審査依頼は12時間に1度
これが、今回の私の対応で失敗したポイントです。 マルウェアが1ページでも残ってしまっている状態でマルウェアの再審査依頼を投げた場合、その後12時間は再審査依頼が送れなくなります。
可能な限り早く復旧させたいと慌てて再審査依頼を送り、1ページでもマルウェアが残っていた場合には、さらに12時間余計にブロックされるということになります。 再審査依頼を送るときには、完璧に直してあるかをしっかり確認するのが、結果的に時間の節約になるでしょう。
Google ウェブマスターツールは重要
今回、一度全部マルウェアを削除したと思っていましたが、Googleウェブマスターツールのお陰で残っていることに気づくことが出来ました。 もしもGoogleウェブマスターツールに登録していなければ、更に数日「マルウェアを消したのにブロック解除されない!」とやきもきすることになっていたはずです。
Googleウェブマスターツールが様々な面で有益なことは明らかです。もしも登録していないWebサイトがありましたら直ちに登録されることをお勧めします。
ブロックされる範囲はドメイン全体
今回感染していたページは、サブドメイン無しのページ(例:http://example.com/)だけでした。しかし感染していない別のサブドメイン(例:http://hoge.example.com)もブロックされました。
サブドメインだけが感染した場合はサブドメイン無しのページがブロックされないのではと思いますが、自信がある事ではないです。そんなことができたら無料ブログサービスを簡単に潰せますし。 しかし、親から子へはブロックが引き継がれるのは確認できました。
マルウェア感染に備えてドメインを分けておくなんて事は笑い話でしょうが、万が一のときにはそうなる事を覚えておくべきでしょう。
Googleウェブマスターツールのアラートメールは遅い
検索結果でブロックされて、Googleウェブマスターツールで警告が表示されるようになっても、まだ「メッセージ」にアラートは到着していませんでした。おそらくはメール転送のアラートも送信されていないと思われます。
今回Googleウェブマスターツールの「メッセージ」にアラートが届いたのは、ブロックが開始されてから最短でも10時間以上経ってからになります。
こちらのGoogleウェブマスターヘルプの記述によると、様々なメールアドレス宛に別途メールが流れているようです。この記述を信じるのであれば、このメールは比較的早く来るのではないかと思います。
今回はこのアドレスのメールを受信していなかったため、直ちに感染に気づくことはできませんでした。 スパムメールも来てしまうアドレスではありますが、万が一に備えて、受信出来るようにしておくべきでしょう。
マルウェア削除後、再審査依頼を送ると数時間で復旧
今回のサイトの場合、再審査依頼の後10時間弱でブロックが解除されました。 百ページしか無いWebサイトなので10時間だったのかもしれませんが、思ったよりも短い復旧です。
マルウェア感染とGoogle
マルウェア感染時には「完璧にマルウェアを削除した後」で「Googleウェブマスターツールで再審査依頼を出す」ということが重要なポイントです。
自分は大丈夫と思っている人でも、なにかの機会に感染してしまうかもしれません。FTPの接続情報を誰かに預けている場合、その人からの感染もありえます。 誰でも「ありえない」と言い切れないと思いますので、もしも感染された際には参考にしてください。
数年前はWebページ感染型のマルウェアは、あっという間に広がっていって大騒ぎになっていました。しかし今は簡単には感染しづらくなりました。最新のブラウザでは危険なサイトを表示することができませんし、古いブラウザでも検索結果という訪問経路が閉ざされて、感染した人への通知も行われるようになりました。その多くの部分を膨大な量のクローラを保持していてウェブマスターへの連絡もできるGoogleが果たしているのかと思います。
マルウェア感染する機会が減りましたので、多くの方にとってマルウェアの問題に絡む事は滅多に無いか思います。そのようなあまり発生しないけれども発生すると大きな問題となる部分で、Googleがその役目をしっかりと果たしているのですね。
今回、「このサイトはコンピュータに損害を与える可能性があります」の解除を実際に体験することができましたが、まだ私が気づいていない部分で非常に重要な役割を果たしている部分もあるのかもしれません。 やはり、Google先生は流石です。
さて、マルウェア感染対策について今からできることは、感染をしないように注意することはもちろんですが、万が一感染した時にすぐに対応出来るように、Googleウェブマスターツールにしっかり登録した上で、いざというときにすぐにログインして対応出来るようにしておくことをお勧めします。