先日、弊社で開発・運用している企業様の管理システムを開いたらこのような警告が出ました。
めっちゃ赤い!めっちゃ怖い!
当然WAFや改ざん検知は入れておりまして、それらのアラートもないままこの画面が出たため、直ちに外部からの不正アクセスや、改ざんが無いか全力で調査を行いましたが、異常が見つかりませんでした。
Googleによる独自審査
これはGoogle側が独自の判定基準で「このサイトはフィッシングサイトである」と認定しているようです。
恐らく、クローリングの上、複数の条件でマッチしたものをフィッシングサイト判定し、Chromeでのアクセス時にこの画面を出す、という風になっている模様です。
Search Consoleに登録することで、Googleがフィッシングに判定した原因を見れるのですが、「不正なプログラムが仕込まれています」と出ているものの、どの部分が問題なのかまでは教えてくれません。
セキュリティ的にまずハッキングされるとは思えず、内部外部ソースをスキャン・目視でも問題なかったので、原因が分かりませんでした。
業務システムのため、Googleがクロールできる範囲ではそもそも簡素なログイン画面しかないので、不正なプログラムがあればフロントソースや通信内容ですぐ判明できます。
今回事情があってできなかったのですが、本来であればIP制限をかけてクライアント環境のみのアクセスにする、Basic認証をかける、robots.txtなどでクローリングできないようにするなどすべきですね。
Search Consoleから修正連絡を行いたいが…
もし何か問題があった場合、修正完了の連絡をSearch Consoleから行えるのですが、困ったことに問題が全くないので、修正しようがなく、困っておりました。
原因を推測してSearch Consoleから連絡
まさかとは思いましたが、ドメイン名にグローバル企業様の名前が入っているので、
- ドメイン所有者がその会社じゃない
- 内容的にドメイン名の内容ではない(このサイトは管理システムなので簡素なログイン画面が表示される)
くらいしか原因が考えられず、下記の文章を添えて、サーチコンソールから修正連絡を入れてみました。
ソースの全面スキャンを行いましたが、不正なプログラムはありません。もしドメイン名が問題なのであれば、[企業様名]から正規に委託を受けて運営しています。それを証明する方法があるのであれば、[企業名様]からご連絡させていただきたいので、方法を教えていただけないでしょうか?
すると翌日
セキュリティ審査のリクエストを受領し、処理いたしました。Google のシステムで、現在の[ドメイン名] には有害なサイトやダウンロードへのリンクが含まれていないことを確認できましたのでお知らせいたします。サイトのユーザーに対して表示されていた警告は削除させていただきます。
との連絡があり、無事に解消されました。
サイトのソースコードだけでなく、上記のような要因も加味して判定していたりするんですね。
今回は誤検知でしたが、日々、インターネットユーザーの安全を守ってくれているGoogleに感謝です。
EV証明書など、企業名を認証できるSSL証明書を使用することで事前に回避できる可能性もありそうです。また、ドメインのWhois情報などでも同様に回避できる方法があるかもしれません。
ちなみに、ここからURLを入力事で、Google側でのヘルスチェックが行えます。
https://transparencyreport.google.com/safe-browsing/search?hl=ja