ブラックハット!SEO対策でやってはいけないスパム行為やポリシー違反（3/3ページ）

悪質な大量の被リンクの対策

悪質な大量の被リンクは一方的に受けてしまうものなので、直接的にはどうしようもありません。

そのようなときは、以下のような対策をすることで、防ぐことができます。

• ウェブマスターツールの「リンクの否認」で悪質な被リンクを除外する

詳しい方法は長くなりますので、ここでは省略します。以下のGoogleのウェブマスターツールのサイトに詳細に記載してありますので、リンクの否認を行う際は、以下のリンク先を参考にしてください。

リンクを否認する-ウェブマスター ツール ヘルプ

ユーザー生成スパムの対策

ユーザー生成スパムは、ユーザーの行動、もしくは投稿できるコンテンツを削除したりすることが考えられます。

主な対策は以下のようになります。

• 管理人の承認制にして承認するまで表示されないようにする
• コメント欄などの自由入力欄を削除する
• 悪意を持ったユーザーのみを投稿・コメントできないように制限する
• ユーザーが貼るリンクには「rel=”nofollow”」をつける

以上のような対策をすることで、悪意をもったユーザーによるスパムコンテンツの生成は防ぐことができます。

ハッキングの防止対策

ハッキングされないようにするためには以下の対策が必要です。

クリックジャッキング対策

クリックジャッキングとは、iframeなどを用いて他のサイトのコンテンツを悪用することです。普通は自分のサイトを他のサイトでiframeで表示させることは必要ないと思うので、Apacheであれば、confファイルか、.htaccessに以下を記述してください。（参考：iframe内からWebページが読み込まれるのを防止する X-Frame-Options HTTP レスポンスヘッダ-buzzword update）

Header always append X-Frame-Options SAMEORIGIN

他にもPHPやHTMLのメタタグの対策もありますが、基本的にはすべてのページに設定する必要があるので、サーバーの設定で一括で上記のように設定します。もしも、iframeで他サイトに表示させたい場合があれば、悪用されないようなコンテンツにしましょう。

XSS対策

XSS(クロスサイトスプリング)とは、コメント欄などに普通の文字ではなく、プログラムコードを記入することで、そのサイトでユーザーに悪質な動作をさせようとする行為のことです。主な対策は以下の通りです。

• PHPで表示するときは、特殊文字を「htmlspecialchars($str,ENT_QUOTES,'UTF-8');」でエスケープ
• Javascriptで表示するときも特殊文字をエスケープ
• ユーザーの入力に特殊文字を使用させない
• Appacheのhttpd.confでTraceEnable Offを設定する

具体的な内容は以下のサイトに書いてありますので、目を通しておくようにしてください。

クロスサイトスクリプティング対策としてやるべき5つのこと|三度の飯とエレクトロン

CSRF対策

CSRF（クロスサイトリクエストフォージェリ）とは、サイトのセキュリティの脆弱性を狙い、何かの処理をユーザーの意図に反して行わせる悪質行為です。

具体的なものは、掲示板への書き込みや、ECサイトでの商品購入などをユーザーの意図に反してやらせることです。代表的な例は、2005年に起きたmixiの「ぼくはまちちゃん騒動」です。

CSRF対策は主に、サイトでの処理確認の隙をついて、処理ページへユーザーをリンクで飛ばして行うものなので、あるページを辿らなければ処理が完了しないようにすることで対策できます。具体的には以下のワンタイムトークンが主流です。

処理完了前の入力ページや確認ページなどで、inputのhiddenに何らかの文字列を与え、ユーザーのセッションにも同じものを記録しておきます。そして、処理ページでは、POSTで渡ったその文字列とユーザーのセッションにある文字列が一致すれば、きちんと処理手順を踏んだことになるので、処理を完了させます。一致しなければ、処理の確認を省いて、いきなり処理完了ページへ飛んできたことになるので、エラーを出します。

他にもCAPTCHAやパスワードでの対策があり、以下のようなサイトを参考にするといいでしょう。

＠IT：「ぼくはまちちゃん」 ――知られざるCSRF攻撃

SQLインジェクション対策

SQLインジェクションなどは、ユーザーの入力した項目をMySQLなどのデータベースに登録する際に、悪意を持ったユーザーが特殊文字を使って、意図しない動作を誘発させることです。

これを防ぐためには、データベースにおいて、意図しない動作をさせないために文字をエスケープする必要があります。

PHPならば、mysql_real_escape_string($str);によってエスケープしたり、もしくはPDOのprepareメソッドを使った対策です。現在では、PDOの仕様が推奨されていますので、後者のprepareメソッドをおすすめします。詳しくは以下のサイトをご覧ください。

• 今夜分かるSQLインジェクション対策 － ＠IT
• パラメータをエスケープする-MySQLへの接続-PHP入門
• PDOの利用-PHP入門
• prepareメソッド-PDOの利用-PHP入門

セキュリティに詳しくなければ自宅サーバーで運用しない

サーバーなどのインフラ整備を主に職業としている人などはサーバーについての仕組みやセキュリティの知識がしっかりあるので大丈夫ですが、そうでない人は自宅サーバーでの運用は控えましょう。

上記のサイトでのハッキングのほかに、サーバー本体のハッキングもあります。サーバーの仕組みやセキュリティはかなり複雑で、素人がサーバーを運用するとなると簡単にハッキングされて、悪用されてしまいます。

そのような人が個人でサイトを作る場合には、維持費も安くしっかりとセキュリティが管理されているレンタルサーバーを利用して、サイトを公開することをおすすめします。

基本的な確認と防止

以上は、サイトを公開するときの基本的な対策です。Googleはハッキングの予防にあたり、以下のことをチェックするように提唱しています。以下のことも気を付けてセキュリティ管理に臨むべきです。（参考：マルウェアへの感染を防止する-ウェブマスター ツール ヘルプ）

• Googlでsite:検索を行って、インデックスに登録されているものを確認する
• ウェブマスターツールの「検索クエリ」のページで、意図しないキーワードがないか確認する
• Fetch as Googleを利用して、感染した疑いがあるページをGooglebotでどのように見えるか確認する
• ウェブマスターツールのメッセージで通知を確認する
• パスワードは強力なものにする
• サードパーティのコンテンツ プロバイダを慎重に選択する
• ホスティング業者や公開プラットフォームにサポートを依頼する
• パソコンを安全な状態に保つ
• サーバーの設定を確認する
• .htaccess ファイルのバックアップを作成する
• 最新のソフトウェア アップデートとパッチを使用して、最新状態を維持する
• ログ ファイルを監視する
• サイトに一般的な脆弱性がないかどうかを確認する
• 安全なプロトコルを使用する
• 常に最新のセキュリティニュースを把握する

以上が主なハッキングの対策になります。セキュリティについては厳重な管理が必要なので、上記のリンク先のサイトをよく読んだり、もっと自分で調べるなどして、完璧に理解したうえでセキュリティ対策に取り組むことをすすめます。

ペナルティを受けているかの確認方法

もし、スパム行為やハッキングの心配があるサイトを運営している人は、自分のサイトがスパムやハッキングによってペナルティを受けているかどうかを確認しましょう。

スパムコンテンツはGoogleのコンピュータで判別しているのと同時に、人間の手によっても対策されます。

そのような手動によるペナルティはかなり深刻なものです。

手動対策は、Search Consoleの「手動による対策」で確認することができます。また、メッセージでも通知されますので、そちらも確認するべきです。登録していない場合は、サイトを登録して確認することをおすすめします。

[手動による対策] レポート – Search Console ヘルプ

Googleにスパムと判断された場合の対処

Googleにスパムと判断された場合は、きちんと対処するべきです。ペナルティを受けているかどうかは、上記でも述べたように、ウェブマスターツールの「手動による対策」で確認できます。

ペナルティを受けていた場合は、スパムとなっている要素をすべて削除してから、以下の手順でサイトの再審査をリクエストします。

1. Google アカウントでウェブマスター ツールにログインします。
2. 再審査をリクエストするサイトが追加、確認されていることを確認します。
3. サイトの再審査をリクエストする

再審査は上記の「手動による対策」でペナルティに引っかかっている場合、そのページ（上記の画像のページ）で内容を確認して再審査リクエストをすることができます。

私は再審査リクエストをしたことがないので詳しくはわかりませんが、再審査にはどのようなスパム行為をやっていたか入力する項目があるそうです。

そこで正直に、リンクを買ったことや隠しテキストの乱用をしたことを詳細に記入することできちんと問題が改善されていれば、Googleに認められて検索結果にインデックスされるようです。

もし、心当たりがないペナルティを受けている場合も、その旨を記入して再審査をリクエストしましょう。それで、納得できる返事がもらえなかったら、直接Googleに問い合わせることをおすすめします。

ハッキングを受けた場合の対処

上記のハッキングについては、第三者からのかなり悪質なもので、一度のハッキングでサイト全体がだめになってしまったり、多くのユーザーに悪影響をもたらしてしまいます。

そこで、サイトがハッキングされてしまった場合は以下の対処を取るようにGoogleは提案しています。

1. ただちにサイトを削除する
2. ウェブ ホスティング業者に連絡する
3. すべてのユーザーとすべてのアカウントのパスワードを変更する
4. サイトの Google セーフ ブラウジング診断ページ（http://www.google.com/safebrowsing/diagnostic?site=www.example.com:www.example.com をサイトの URL に置き換えてください）にアクセスし、Google の自動スキャンで検出された情報を確認する
5. 最新のスキャン プログラムでパソコンをスキャンし、ハッカーが追加した可能性のある悪質なコードを特定する
6. ウェブマスターツールでハッキングされているURLを確認する
7. ウェブマスターツールのURL削除ツールを使用して、ハッキングされたページやURLの削除をリクエストする
8. Googl のセーフブラウジングチームにフィッシング詐欺の報告をする
9. ウェブマスターツールのFetch as Googleツールを使用して、ユーザーのブラウザに表示されずにGoogleの検索エンジンクローラに影響を与える可能性のあるマルウェアを検出する
10. antiphishing.org（英語）で、サイトがハッキングされた場合の対処法（英語）を確認しする
11. 他にサイトがある場合は、そのサイトもハッキングされていないかどうかを確認する
12. サイトのオープン リダイレクトが悪用されているかどうかを確認する
13. .htaccess ファイル（Apache の場合）（英語）など、ウェブサイトのプラットフォームのアクセス制御メカニズムに不正な変更が加えられていないかどうかをする
14. サーバーのログをチェックして、ファイルがいつハッキングされたかを確認する
15. ウイルススキャンや「不正なソフトウェアの詳細」ツールで検出された、追加されたページ、スパムコンテンツ、疑わしいコードを削除し、コンテンツをクリーンアップする
16. コンテンツをバックアップしている場合は、コンテンツ全体を削除し、安全なことがわかっている一番新しいバックアップ（ウィルス感染もハッキングされたコンテンツもないことを確認したもの）に置き換える
17. すべてのソフトウェアパッケージを最新のバージョンに更新する
18. サイトから問題を取り除いたら、パスワードを再び変更する
19. システムをオンラインに戻す
20. 問題が解決され、再び検索結果に表示できるようになったURLの削除をURL削除ツールでリクエストしている場合は、同じツールでリクエストを取り消す
21. 悪質なコードをすべて削除したら、サイトの再審査をリクエストする

詳しい内容は、サイトのクリーンアップ-ウェブマスター ツール ヘルプで確認してください。以上の対処を上から順番にすべてやるべきです。

ハッキングはかなり悪質で危険ですので、日ごろのセキュリティに力を入れ、万が一ハッキングされた場合でも、早急に対処できるようにしておきましょう。

他サイトのスパムコンテンツを発見した場合

インターネット利用しているときに、上記のようなスパム行為や不正コンテンツのあるサイトを発見した場合は以下のように対処してください。（参考：スパム、有料リンク、マルウェア、その他の問題を報告する-ウェブマスター ツール ヘルプ）

スパムを発見した場合

ウェブマスターツールに登録している場合は、http://www.google.com/webmasters/tools/spamreportから報告する。登録していない場合は、http://www.google.co.jp/contact/spamreport.htmlから報告する。

リッチスニペットにスパムがある場合

http://support.google.com/webmasters/bin/request.py?hl=ja&contact_type=rich_snippets_spamから報告する。

有料リンクを発見した場合

Googleまで報告する。

著作権に関する問題

デジタルミレニアム著作権法（DMCA）に基づく侵害通知を送信する。

好ましくないコンテンツ

https://support.google.com/legal/troubleshooter/1114905?rd=1#ts=1115655から報告する。

マルウェア

Googleまで連絡する。

そのほかの問題

そのサイトの運営者に直接連絡して問題を報告する。

スパムや不正コンテンツはあなただけではなく、他の人にも悪影響を与えます。すべての人が心地よくインターネットを利用できるように、不正コンテンツを発見したら、その種類別に以上の方法で、報告するようにしましょう。

まとめ

以上、やってはいけないスパム行為や不正コンテンツのまとめでした。

ユーザーに悪影響を与えるようなコンテンツ作りは決してやるべきではないです。ペナルティを受けているなら、いますぐに問題のコンテンツを削除するようにしましょう。

また、自分のサイトがハッキングされないようにセキュリティ管理もしっかりやるべきです。大量の被リンクやハッキングなどの攻撃を受けたら、上記の対策をしっかりとやって、対処するようにしましょう。

そして、最後にも取り上げたように、Googleやユーザーに悪影響を与える不正コンテンツを発見したらそのまま放って置かないで、きちんとGoogleに報告するべきです。

インターネットはたくさん人が利用する場所です。ユーザーに役立つコンテンツを作成し、スパムを発見したらきちんと報告することで、自身のSEOのためにもなるし、他のユーザーのためにもなることができるので、そのようなことを心がけてサイトを運営することをおすすめします。