2017年ごろから増えてきた「偽のサイトにアクセスしようとしています」という赤い警告画面。
Google Chromeの保護機能で、Googleが危険なコンテンツや詐欺的なコンテンツがあり「安全でないサイト」であると判断されると、サイトにアクセスがあった際に警告が表示されます。
Googleでのセキュリティ強化がされてきたせいか、実際は危険ではないサイトまでこの表示が出ることがあります。
恐らく「危険なコンテンツになりえるサイト」が「安全でないサイト」と判断されているためと思われます。
幸いな事にこのブログは対象ではなかったのですが、自分が運営するサイトにこんな表示が出てしまったら目も当てられないので、そうなる前に対策を実施してみました。
スポンサーリンク
目次
なぜ「偽のサイトにアクセスしようとしています」と表示されるのか
まず、「偽のサイトにアクセスしようとしています」が表示される原因を考えてみます。
Google Chromeのヘルプを確認すると次のようになっていました。
危険なコンテンツや詐欺的なコンテンツを表示しようとすると、警告が表示されます。たとえば、フィッシング サイトや不正なソフトウェア(マルウェア)を配布しているサイトがこれに該当します。
- アクセス先のサイトで不正なソフトウェアを検出しました: アクセスしようとしているサイトは、パソコンに不正なソフトウェアをインストールしようとする可能性があります。
- 偽のサイトにアクセスしようとしています: アクセスしようとしているサイトは、フィッシング サイトである可能性があります。
- アクセス先のサイトには有害なプログラムがあります: アクセスしようとしているサイトは、ユーザーをだまして、ウェブ ブラウジングの際に問題を引き起こすプログラムをインストールさせようとする可能性があります。
- このページは承認されていないソースからのスクリプトを読み込もうとしています: アクセスしようとしているサイトは安全ではありません。
アクセスしたい場合
「詳細」をクリックし、「この安全でないサイトにアクセスする」でサイト自体は表示されます。(自己責任)
この方法でアクセスしても、一部表示されない場合があります。
Chrome で安全でないサイトにアクセスした場合、そのページ上の安全でないと判断されたコンテンツは表示されません。
恐らくヘルプページにある「このページは承認されていないソースからのスクリプトを読み込もうとしています」にスクリプトが該当しているんだと思います。
アドレスバーの右側のコンテンツをブロックしましたというアイコンをクリックし、「サイト全体を読み込む」または「安全でないスクリプトを読み込む」をクリックすると、ブロックされていた部分も表示されます。(自己責任)
アクセスしようとしているサイトは、フィッシング サイトである可能性があります。
今回は、この表示が出た際の対策について考えていきます。
フィッシングサイトとは?
フィッシング (Phishing) とは、金融機関 (銀行やクレジットカード会社) などを装った電子メールを送り、住所、氏名、銀行口座番号、クレジットカード番号などの個人情報を詐取する行為です。電子メールのリンクから偽サイト (フィッシングサイト) に誘導し、そこで個人情報を入力させる手口が一般的に使われています。
つまり、アクセスしようとしているサイトに上記のような個人情報を求めるような内容がある場合に警告が表示されるものと考えられます。
対策について考える
「偽のサイトにアクセスしようとしています」と表示される基準はGoogleが定めているため、どのプログラムのどの記述が該当するかなどの明確なものは分かりません。
安全でないサイトについての警告表示を設定する のヘルプの一番最後に、ウェブサイトに変更を加えて再審査をリクエストしていただけますという文章の記載があり、その再審査をリクエストするというページでは、以下の手順を行ってから再審査をリクエストして欲しいという前提条件がありました。
Search Console でサイトの所有権を確認した
サイトからハッカーによる被害をクリーンアップした
脆弱性を修正した
正常なサイトをオンラインに戻した
Search Console でサイトの所有権を確認した
Googleのサービスである「Search Console」に自分のサイトの所有権は自分にあるという事を登録すると、Googleの検索結果に自分のサイトが表示されるようになります。
もちろん登録しなくても表示される場合もありますが、「確実に」表示されるようになり、かつ他人は他人のサイトを「Search Console」には登録できない(サイト編集やサーバー操作が必要)ので、自分のサイトという証明ができます。
サイトの所有権を確認する – Search Console ヘルプ
サイトからハッカーによる被害をクリーンアップした
「気づかない内にサイトが改ざんされていた」なんていう事があります。
改ざんされていた箇所を修正したり、いつの間にか増えているファイルなんかもあったりするので、おかしい所は全部直してしまいましょう。
といっても、どこを見ればいいかなんて分かる人の方が少ないですよね。
こんなこと言っている僕も、実際に自分で書き込んだ文字列くらいしか正しいかどうかなんて分かりません。
そういう時は不審な記述があるかをチェックしてくれるサービスを活用すると便利ですよ!
サイバーセキュリティ会社のセキュアブレイン社が提供する gred
改ざんされている場合は「危険です」と表示されるので、すぐ横にある「解析する」ボタンを押すと、該当のファイルが何なのかがメールで送られてきます。
脆弱性を修正した
セキュリティに脆弱性があると、サイトが攻撃され改ざんされたりしてしまいます。要は侵入されないようにしてくださいという事ですね。
・FTPソフトを使うときは暗号化通信を使う
FTPの接続方法はいくつか種類がありますが、暗号化しない「FTP接続」の場合、パスワードなどが丸見えなってしまいます。
少なくともFTPSを、可能であればSFTPやSCPを使いましょう。
接続方法は各サーバーにマニュアルやヘルプ等があるかと思うので探してみてください。
・さくら
<FTPについては別で記事を書く予定>
・サイトのURLが「http」なら「https」にする
Googleは2018年2月8日にGoogle Security Blogにて2018年7月にリリースされるGoogle Chrome 68からは全ての「http」のサイトを「セキュリティで保護されていない」とマークすると宣言しました。
「偽のサイトにアクセスしようとしています」という表示とは直接的な関係はないかもしれませんが、セキュリティの観点から見ると間接的には影響があるかと思います。
以前はSSLは有料のところが多かったのですが、今は無料でSSL化できるところが多いので、各レンタルサーバーでSSLが申し込みできるか確認しておきましょう。というかすぐにしてください。
・さくら
・WordPressの脆弱性対策
1.WordPress本体・プラグイン・テーマのバージョンを常に最新に保つ
WordPressを最新にすると特定のプラグインが使えないなどの理由でバージョンアップをしない人がいますが、これはおすすめしません。
例えば、この記事を書いている時の最新のアップデートは4.9.5ですが、4.9.4以前でのセキュリティの問題を修正しています。
最新にしないということはこれらの驚異に晒され続けるという事となり、放置すればするほど危険度は増します。このためできるだけ自動更新を設定し、常に最新の状態を保てるよう心がけましょう。
また、プラグインやテーマについては、定期的にアップデートをしているか確認してください。長期間更新されていないと、そのプラグインから侵入されるというケースもあります。
2.ユーザー名とパスワードを複雑なものに設定する
WordPressの管理画面へログインするためのユーザー名やパスワードを、忘れやすいからと公開しているドメインと同じにしたり、簡単な文字列にしていると、そのログイン画面を突破されたりします。
WordPressなどのCMSは管理画面から新しいファイルの作成やページ内記述を変更できるため、ログイン情報は特に厳重に管理してください。
また、FTPのパスワードなど、パスワードと名のつくものは全て簡単なものだと突破されてしまうおそれがあるため、できるだけ複雑なものに変更しておきましょう。
3.管理画面のURLを変更する
WordPressの管理画面は、デフォルトでは「wp-admin」か「wp-login.php」となっています。
試しにサイトURLの後ろに「wp-admin」を付けてアクセスしてみてください。
WordPressで作られているかが分かれば管理画面へは簡単にアクセスできます。このため管理画面のURLを任意のものに変更しておくことはセキュリティ対策として大変効果的となります。
WordPressの管理画面の変更はプラグインの「SiteGuard WP Plugin」が便利です。
プラグインをいれると、管理画面のURLを好きな文字列に変更できます。
推測されにくいものに変更して、対策を施します。
「SiteGuard WP Plugin」でURLを変更すると、通常のログイン画面で入力する「ユーザー名またはメールアドレス」と「パスワード」に加えて、画像認証が追加されます。
正常なサイトをオンラインに戻した
改ざんや脆弱性など全て修正した健全なサイトデータを公開できる状態にした状態で再審査をリクエストしてください。サイトが閲覧できる状態でないと審査もできませんからね。
安全になったと判断したら再審査してもらおう
「偽のサイトにアクセスしようとしています」表示の場合は フィッシング警告の誤りを訂正 というページから再審査のリクエストができます。(再審査をリクエストするページにもリンクがあります)
再審査時に注意したいのが、安全になっていない状態で再審査をすると警告が消えるまでの期間が長くなってしまうので、最後の確認はしっかりと!
