SEM Vol.16|Webマスター向けTips | Discover Bing

Web マスター向け Tips

Vol.16 マルウェアの容赦ない悪意 パート3

予定のプログラムからちょっと逸れたいと思います。普通このコラムでは、検索エンジン最適化(SEO)と、検索エンジンマーケティング(SEM)に関して議論していますが、 マルウェア の連載に深入りしていますので、コンピューターセキュリティの強化について話を進め、まとめに入りたいと思います。しかし、ここでオタクモードに入ってしまって、コラムがちょっと長くなってしまいました(そう、いつもよりもさらに長く!)ので、この最後のセクションを2回に分けたいと思います。ブログでホワイトペーパー並みの長さの文章を読みたい人はいないでしょ? ぼく以外には、ってことですけど。(^○^)

コンピューターセキュリティの強化は、必ずしもサイトのSEOパフォーマンスに直接影響を及ぼさないかもしれませんが、それを行わなかった場合の影響を考えてみてください。マルウェアに感染したウェブサイトをお客様に示せば、オンラインビジネスの誠実さとコンバージョンの可能性を台無しにしてしまいます。Bingのような一流の検索エンジンは、マルウェアに感染したページを、検索エンジン結果ページ(SERP)の表示からブロックしますし、影響を受けたページへのリンクを、マルウェア警告メッセージにリダイレクトします。Bingでは、検索者がマルウェア感染ページに向けたSERPリンクをクリックすると、以下のような警告メッセージを表示します。

SERPからのマルウェア警告を無視してクリックする検索者はほとんどいないので、影響を受けたページへのリンクが最初に表示されるとすると、検知されたマルウェア感染に素早く対処しなければ、検索参照のトラフィックのほぼすべてが失われることになります。そしてサイトに直接アクセスしたお客様が、マルウェアの感染源があなたのサイトであると知れば、二度と戻ってこないでしょう。

マルウェアに関する連載の パート1 では Bing の Webmaster Center のようなツールを使って、サイトのマルウェア感染を検知する方法について説明しました。 パート2 では、ウェブサイトに影響を及ぼすマルウェアコードの種類と場所の特定について、サイトからの取り除き方も含め、リソースと戦略について長く話をしました。今日のブログ、パート3と、次のパート4では、ワークステーションとウェブサーバーを二度と感染させないように安全に守る方法について、10のしっかりとした提案をします。結局のところ、網戸をきちんと閉めていないのに、台所を飛び回るハエをシッシッと追い払うことに時間をかけて何になるのか、ということです。

おすすめのセキュリティ戦略

マルウェアが駆除できたら、ウェブサイトに再びマルウェアが現れないように、ウェブサイトをしっかり守る手段を講じましょう。ウェブサイトを構築、管理、供給するコンピューターのすべてのセキュリティを守ることが、成功の秘訣です。マルウェアに感染するということは、あなたのコンピューターのインフラに、1箇所以上の対応すべきセキュリティの脆弱性があるということです。以下の予防措置は、あなたかあなたのホスティングプロバイダー(両方の可能性もあります)が行うべき作業です。

1. ウィルス除去ツールをインストールして利用する

まだの方は、ウェブサイトのコンテンツを制作、アップロードしているコンピューターワークステーションに、強力な ウィルス除去ソフト をインストールし、作動させてください。あなたのウェブサーバーがそうしないと保護されないならば、ウェブサーバーにも適切なウィルス除去のソリューションをインストールします。高品質のウィルス除去製品は、既知のマルウェアがウェブサイトのソースコードに使う埋め込みスクリプトや、ローカルに保存されたウェブページ制御機能のスキャンに対応しています。ですので、品質や機能をケチらないようにしてください。

ウィルス除去ソリューションをインストールしたら、ツールのプログラムコードや検知に使われるマルウェアの設定ファイルを必ず定期的に更新してください。最新型のウィルス除去ツールは、アップデート機能が内蔵されていますが、セットし忘れる前に、アップデート機能が期待どおりに機能しているかどうかを確認します。ウィルス除去ソリューションのアップデートがどれほど重要であるか、納得できる理由が欲しい方は、 Microsoft Security Intelligence Report (Bingが主な貢献者です)を参照してください。最後に、ウィルス除去ツールを使うのを忘れないでください! インターネットにつながっているコンピューターが、マルウェアに感染していないか定期的にスキャンして、クリーンであることを確認する必要があります。

マイクロソフトでは、 Windows Live OneCare セーフティスキャナー という 無償のマルウェア駆除スキャナーを提供しています。Windows XP、Windows Vista、Windows 7で動作するコンピューターで機能します。ウィルス、スパイウェア、その他の疑わしい、望まれないソフトウェアをチェックして取り除き、そしてインターネット接続での脆弱性を検知しますまた、あなたのハードドライブをきれいにしますので、コンピュータパフォーマンスのチューニングにも使えます。

マイクロソフトはまた、 Microsoft Security Essentials プログラムをリリースしています。これは、新たな無償のマルウェア駆除ソリューションで、あなたのコンピューターのバックグラウンドで動作し、ウィルス、スパイウェア、その他の悪意のあるソフトウェアをリアルタイムで防ぎます。これは要チェックです!.

2. スパイウェア駆除ツールをインストールして利用する

あなたのウィルス除去ソリューションに具体的に含まれていなければ(最近は多くが含んでいるようです)、 優れたスパイウェア駆除スキャン&保護ツール をワークステーションにインストールしなければなりません(ウェブサーバーから直接ウェブサーフィンすることはないでしょうから、この保護が必要でない可能性もあります)。ウィルス除去ツールと同様、このツールも定期的に更新し、コンピューターの問題チェックのためにスキャンします。あなたが避けたいことは、障害を抱えたワークステーションから、ウェブサーバー環境にマルウェアを送り込んでしまうことでしょう!

マイクロソフトも、 Windows Defender という無償のスパイウェア駆除ツールを提供しています。これはあなたのコンピューターから、スパイウェアやその他の望まないソフトウェアを検知して取り除くことで、ポップアップ、パフォーマンスの問題、セキュリティの脅威から積極的かつリアルタイムに保護します。

3. ファイアウォールを使う

最低限、ソフトウェアのファイアウォールユーティリティを使って、ワークステーションやサーバーを外部のハッカーから守らなければなりません。ファイアウォールソフトは、不正かつ不適切なネットワークトラフィックがコンピューターに侵入することをブロックします。ハッカーはこれらのテクニックを使って、あなたのシステムを制御し、マルウェアをインストールします 多くのファイアウォールソフト は、Windowsや他のプラットフォームのユーザーのために存在します。サーバーでは、ファイアウォールを使って通常のウェブサーバーのリクエストトラフィック以外のすべてのインバウンドトラフィックをブロックし、サイトの所定のコンピューターからのアップロードといった、ウェブマスター向けのセキュアなアクセスメソッドを使います。

セキュリティのさらなる強化のため、あなたのコンピューターとインターネットの間に、少なくとも stateful packet inspection (SPI) を提供する独立したハードウェアのファイアウォールデバイスを導入することを検討します。ファイアウォールデバイスは、SPIを使ってそれを通過するネットワーク接続の状況を追跡します。不正な、あるいは不正な形式のTCP/IPネットワークパケットは、脆弱なファイアウォールを使ってハッカーが行うことですが、SPIを起動したファイアウォールによって拒絶されます。どのネットワークプロトコルがどのポートで使われているかをより安全に検査し、それが適切に使われているかどうかを判断できるように、ネットワークプロトコル階層のアプリケーションレイヤーで動作しますので、 アプリケーションレベルのフィルター ファイアウォールがベターかも知れません。

4. セキュアなプロトコルを使ってウェブサーバーにアクセスする

標準の FTP プロトコルは、送信時にデータを暗号化しないので、ネットワーク検出テクノロジを使うハッカーによってコンピューターかネットワークが危険にさらされていると、ウェブサーバーのログオン認証が盗まれる危険性があります。ファイアウォールの項目でも触れたように、 Secure FTP や Secure Shell (SSH) を使うことで、この潜在的な脆弱性は取り除けます。これは必ずエンドツーエンドで、サイト開発者からウェブマスターへ、ウェブマスターからサーバーへ行うようにしてください。

5. パスワードを変更して強化する

コンピューターセキュリティは一般にコンピューターにアクセスする際に使うパスワードの鮮度と強度に依存します。'N Sync (インシンク)が全盛期だった頃からパスワードを変えていないなら、それには "Bye Bye Bye" すべきでしょう。あなたにはパスワードを定期的に変える治療法が必要です。そしてその際には "password" のような超あからさまなものではなく、思いつくのが難しいものにしなければなりません。これについてのコツは、 Create strong passwords をチェックしてください。

これを面倒だと言わないように。これをスキップしてしまうと、そのときは幸せでしょうが、ハッカーも大喜びです。変化のない、シンプルなキーワードはクラックされやすいものです。ハッカーがあなたのログオン認証を知ると、そのサイトは奴らの思いのままです。あなたを閉め出すことだったできるのです! ハックされたサイトに問題解決のために入ることすらできないなんて、想像してみてください!

おすすめはまだまだ続きます

ウェブマスターのコンピューター環境をセキュアにするためのおすすめはさらに5つ続きます。

それでは I'll be back....

-- Rick DeJarnette, Bing Webmaster Center