Google Search Console(グーグル サーチコンソール)は、Webサイトの検索パフォーマンスを監視・改善するうえで非常に重要なツールです。しかし、このSearch Consoleが第三者に乗っ取られ、悪用されるケースも存在します。
本記事では、Search Consoleが不正アクセスされた場合に見られる具体的な事象や、発覚後に取るべき対応手順について、わかりやすく解説します。
万が一のトラブルに備え、ぜひ最後までご確認ください。
目次
サーチコンソールが狙われる理由
悪意のある第三者がGoogle Search Consoleに不正アクセスを試みる目的は複数ありますが、中でも代表的なものが、「不正なURLを大量にGoogleに登録すること」です。
Googleの検索結果に表示された不正なURLをユーザーがクリックすると、本来のWebサイトではなく、不正なショッピングサイトなどに誘導されます。
もし、そうしたサイトで商品を購入したり、氏名・住所・クレジットカード情報などを入力してしまうと、大切な個人情報が盗まれてしまうリスクがあります。
攻撃者は、このような「悪質な誘導」や「個人情報の窃取」を目的として、Search Consoleへの侵入を図っているのです。
以下では、実際にSearch Consoleが不正な侵入を許してしまった場合に、チェックすべき項目をご紹介いたします。
登録した覚えのない不明ユーザー
Google Search Consoleに見覚えのないユーザー(所有者)が登録されている場合、不正アクセスの可能性があるため注意が必要です。特に「オーナー」権限が付与されていると、Search Console上の操作を自由に行えてしまうため、放置しておくと非常に危険です。
万が一、不審なユーザーが登録されていた場合は、以下の手順に従って速やかにユーザーを削除してください。
サーチコンソール ユーザーの削除手順
1. Google Search Consoleにログインし、画面左側のサイドメニューから「設定」を選択し、表示されたメニューの中から「ユーザーと権限」をクリックしてください。
2.「ユーザーと権限」の画面には、現在登録されているユーザーの一覧が表示されます。
見覚えのないユーザーが含まれていないか、権限レベルとあわせて慎重に確認しましょう。
3. 不審なユーザーを確認した場合は、ユーザー名の横に表示されている「メニュー(縦の3点アイコン)」をクリックし、「権限の削除」を選択し、ユーザーを削除してください。
※ ユーザーの削除には、オーナー権限を持ったアカウントにてログインをしている必要があります。
上記の手順を行っても「サーチコンソールから不正なユーザーを削除できない」、または「削除しても再び追加されてしまう」といった場合は、不正なユーザーが何らかの方法で「所有権トークン」を利用し、サイトの所有権を再確認している可能性があります。
このような場合は、不正ユーザーが利用している所有権トークンを削除する必要があります。
所有権トークンには以下のような形式があり、それぞれがサイトの所有権を証明する手段として使われています。
- サーバーにアップロードされたHTMLファイル
- DNSレコード(TXTレコードなど)
- METAタグ(HTMLのhead内に設置されるコード)
- GoogleアナリティクスやGoogleタグマネージャーとの連携情報
これらのトークンを削除・無効化することで、不正な所有権確認を防ぐことが可能です。
ただし、対応には専門的な知識を要する場合があるため、セキュリティの専門家に相談・依頼されることを強くおすすめします。
登録した覚えのない、不正なサイトマップ
次に、Google Search Consoleに不正なサイトマップが登録されていないかを確認しましょう。
攻撃者は、不正なURLを含むファイルをサイトマップとして登録し、それを通じてGoogleに不正なリンクをインデックスさせようとします。
もし、登録した覚えのないサイトマップが存在していた場合は、速やかに削除する必要があります。
以下の手順に従って、該当のサイトマップを削除してください。
サイトマップの削除手順
1. Google Search Consoleにログイン後、画面左側のサイドメニューから「サイトマップ」をクリックしてください。
次に表示される「送信されたサイトマップ」一覧に、不審なサイトマップが含まれていないかを確認します。
2. 不審なサイトマップが存在した場合は、そのサイトマップをクリックして詳細画面を表示してください。
3.詳細画面内の「メニュー(縦の3点アイコン)」をクリックし、「サイトマップの削除」を選択してください。
これで該当のサイトマップがSearch Consoleから削除されます。
【補足】sitemap.xmlの改ざん
一般的なWordPressサイトでは、「sitemap.xml」というファイルがサイトマップとして使用されています。しかし、この「sitemap.xml」の内容自体が改ざんされ、Googleに不正なリンクが登録されてしまうケースもあるので注意が必要です。
改ざんが疑われる場合は、自身のドメインに「/sitemap.xml」を付け、ブラウザでアクセスし、内容を確認してみましょう。
例:https://sample-site.com/sitemap.xml
もし、見覚えのないURLや不審なリンクが含まれていた場合は、サイトマップ自体がが改ざんされている可能性があります。その場合は、サーバー上の「sitemap.xml」ファイルの内容や、サイトマップを生成しているプラグインの設定を確認し、必要に応じて修正・再生成を行ってください。
外部ツールにも異常がないか確認しましょう
いかがでしたでしょうか。
ウェブサイトへの攻撃は、直接サーバーを狙うものだけではありません。
今回ご紹介したように、Google Search Consoleなどの外部ツールを経由して、不正な操作が行われるケースもあるため注意が必要です。
万が一ウェブサイトが改ざんされた場合には、サーバー内のファイルや設定だけでなく、連携している外部ツールにも異常がないかを確認するようにしましょう。
とはいえ、使用しているツールが多いと「どこから確認すればよいかわからない」と迷ってしまうこともあるかと思います。
そんなときは、ぜひ当社までお気軽にご相談ください。専門スタッフが丁寧にサポートいたします。
