Google Search Consoleに現れる謎のURL 高度なハッキングとネガティブSEOへの対応について実例をご紹介します。比較的最近、弊社ホームページのGoogle Search Consoleに、不可解なURLが大量に出現するという深刻な問題が起こりました。これは単なる技術的なエラーではなく、ホームページ(ウェブサイト)のSEOパフォーマンスとセキュリティ体制の根幹を揺るがす事態であり、ハッキングおよびネガティブSEO攻撃の複合的な兆候であると判断しました。同様の脅威に晒されているウェブサイト管理者の方々への一助となるべく弊社の経験と具体的な対策を詳細に共有いたします。
発端はサイト内に出現したインデックス不要なURL群
Search Consoleの「ページ」(旧「カバレッジ」)レポートを日常的にチェックしていたところ、「https://funfairfanfare.com/お問いくわせフォーム-迷惑-営業メール-対策/」や「https://funfairfanfare.com/ビングコントロールーーング」といった、私のサイトには本来存在しない、意味不明な日本語のURLが大量に検出されていることに気づきました。
意味不明な日本語のURL Search Console
これらのURLは、私のサイトの通常のディレクトリ構造やコンテンツ方針とは全く異なるものであり、その異質さは一見して明らかでした。
当初は、WordPressプラグインやテーマの不具合、あるいは一時的なクロールエラーではないかと推測しましたが、その数の多さと継続的な発生状況から、より悪質な原因が潜んでいると判断せざるを得ませんでした。
脅威の特定 日本語キーワードハックとクローキングの実態
詳細な調査と情報収集の結果、この現象は「日本語キーワードハック」(Japanese Keyword Hack)と呼ばれる典型的なサイバー攻撃である可能性が極めて高いことが判明しました。この種のハックは、攻撃者がターゲットサイトにスパム性の高い日本語のページやコンテンツを密かに挿入し、それらをGoogleにインデックスさせることで、以下のような目的を達成しようとします。
- 対象サイトへのネガティブSEO: 主要ページの評価を分散させたりクロールバジェットを浪費させることによって検索流入に乱れを生じさせる。検索競合など競合他社などからの攻撃。(詳細は後述)
- 不正なアフィリエイト収入の獲得: ギャンブルや医薬品などの違法または疑わしい商品のアフィリエイトリンクを仕込み、検索流入を介して収益を得る。
- スパムサイトへの誘導: 検索ユーザーを、最終的に詐欺サイトやマルウェア配布サイトへリダイレクトさせる。
- SEOスパムの拡散: ターゲットサイトのドメインオーソリティを悪用し、自身のスパムサイトへのリンクを構築する。
このハックの厄介な点は、しばしばクローキング(Cloaking)という高度な技術が用いられることにあります。クローキングとは、ユーザーとGooglebotに対して異なるコンテンツを提供する手法です。
例えば、通常のブラウザでアクセスするとサイトの正規のコンテンツが表示されるにもかかわらず、Googlebot(や特定のUser-Agentを持つボット)でアクセスするとスパム性の高い日本語コンテンツが表示される、といった具合です。
このようなクローキングが存在すると、「セキュリティの問題レポートには警告が出ない」という状況が発生しやすくなります。Googleの自動スキャナーが正規のコンテンツしか見つけられず、悪意あるコンテンツを検出できないためです。
また、Wordfenceのような一般的なセキュリティプラグインでも、特定のクローキングや難読化されたコードを完全に検出できないケースも存在します。これは、攻撃者がセキュリティツールの検出ロジックを巧妙に回避するよう設計しているためです。
ネガティブSEOとの関連性 不審な外部リンクの発見
さらに、弊社ホームページへの不審な外部リンクが確認されたことも、この問題の深刻さを増す要因でした。
弊社は以前、Web検索で意味不明なURLを二重引用符で囲んで検索することで、特定の品質の低いドメインからのリンクを発見していました。このようなリンクは、単なるサイトのハッキングだけでなく、ネガティブSEO攻撃の一環である可能性を示唆しています。
ネガティブSEOとは、競合他社などが悪意を持って、対象サイトのSEO評価を意図的に引き下げるための戦略です。
これには、以下のような手法が含まれます。
- スパムリンクの大量生成: 関連性のない、または質の低い大量のバックリンクを対象サイトに送りつけることで、Googleのアルゴリズムにスパムと認識させようとします。
- コンテンツのスクレイピング: 他のサイトからコンテンツを盗用し、重複コンテンツとして認識させる。
- 不適切なコンテンツの作成: 対象サイトを装った偽のページを作成し、Googleに誤解を与える。
意味不明なURLがSearch Consoleのインデックスに登録されていなくても(例えば、Search ConsoleのURL検査ツールで「URLがGoogleに登録されていません」と表示されても)、その存在はサイト全体のSEOに複合的な悪影響を及ぼします。
- クロールバジェットの非効率な消費: Googlebotは、たとえインデックスしないURLであっても、それらを継続的にクロールしようと試みます。この「無意味なクロール」は、サイトのクロールバジェットを浪費し、本来インデックスすべき重要ページのクロール頻度や深度を低下させる可能性があります。
- サイト品質シグナルの希薄化: 大量のスパム性または無意味なURLが存在することは、Googleにサイト全体の品質が低いというシグナルを与えかねません。これにより、正規のコンテンツのランキング力や、ドメインオーソリティの評価が間接的に低下する恐れがあります。
- 潜在的な手動ペナルティのリスク: 最も深刻な場合、Googleがスパムコンテンツやクローキングを明確に検出すると、サイトに対して手動ペナルティを課す可能性があります。これにより、検索結果からのサイトの露出が大幅に減少したり、完全に削除されたりする危険性があります。
サイト内検索を利用した攻撃も検討しましたが、サイト内検索結果はnoindex指定をしているため、インデックス登録されるということに整合性がありません。そのため、外部からのリンクによるURLの発見と短期的なインデックス登録を疑いました。
弊社が実施した複合的な対策と継続的な監視体制
この多層的な問題に対処するため、弊社は以下の通り複合的なアプローチで対策を講じました。
今回の事例は、特定の品質の低いドメインからのリンクの抽出と「外部リンクの否認(Disavow)の徹底」が功を奏しました。
特定の「品質の低いドメインからのリンク」が瞬間的に生成され、そのリンク元ページは一定期間経過後に消され痕跡を消すような仕組みになっていました。
明らかに弊社を狙った攻撃です(法的には偽計業務妨害罪に問われると考えます)。
外部リンクの否認(Disavow)の徹底
- 意味不明なURLを二重引用符で囲んで検索し、リンク元を洗い出しました。
- Google Search Consoleの「リンク」レポートから、サイトへの外部リンクを詳細に分析しました。「上位のリンク元サイト」と「上位のリンクテキスト」を定期的にチェックし、不自然なパターンがないか確認しました。
- Ahrefs、Semrush、Moz Link Explorerなどの外部SEOツールも併用し、Search Consoleだけでは見えない広範なリンクプロファイル(例えば、ドメインレーティングの低いサイト、アンカーテキストの不自然さ、リンクの急増など)を把握しました。
- 特定した品質の低い、または関連性のない不審なドメイン(例:無関係な外国語サイト、スパム的な内容のサイト、不自然なアンカーテキストを持つサイト)からのリンクをリストアップし、Googleの否認ツールを通じて否認ファイルを提出しました。否認処理はGoogleのインデックスに反映されるまで時間を要するため、継続的な監視が必要です。
サイト内部の厳格なフォレンジックとクリーンアップ
セキュリティプラグイン(例えばWordfence)の自動スキャンに頼るだけでなく、手動での詳細なファイル検査を実施しました。FTPクライアントやホスティングのファイルマネージャーを通じて、ウェブサイトの公開ディレクトリ内のすべてのファイルを、更新日時順でソートして確認。特に.php、.js、.cssファイル、そして.htaccessファイルに不審な改変や追加がないかを厳しくチェックしました。難読化されたコードがないかも注意深く見ました。
WordPressのチェック
CMS(WordPressなど)を使用している場合、コアファイル、テーマファイル、プラグインファイルを、公式サイトからダウンロードしたクリーンなバージョンと一つ一つ比較し、改ざんがないか検証しました。差異が見つかった場合は、安全な方法で置き換えを行いました。
phpMyAdminによるデータベースチェック
phpMyAdminでデータベースに直接アクセスし、wp_posts、wp_options、wp_usersなどの主要なテーブルに、身に覚えのないスパムコンテンツ、不審な設定値、あるいは不正な管理者アカウントが追加されていないかを確認し、発見次第削除しました。
パスワードの変更
サイトに関連するすべてのパスワード(CMS管理者、FTP、SSH、ホスティングコントロールパネル、データベースユーザーなど)を、複雑で推測されにくいものに即座に変更しました。二段階認証(2FA)の設定も推奨されます。
もしこうした対処が通じない場合は、可能であれば、ハッキングされる前のクリーンな状態のバックアップからサイトを復元することも視野に入ります。これは、既知のマルウェアを最も確実かつ迅速に排除する方法です。
Google Search Consoleとサーバーログの継続的な監視
「ページ」レポートで、意味不明なURLの数が減っているか、新たなものが生成されていないかを日々監視し、ステータスの変化(例:インデックス済みから除外へ)を追跡しています。
「URL検査ツール」
「URL検査ツール」は、特に重要な診断ツールです。疑わしいURLを個別に検査し、「公開URLをテスト」を実行することで、GooglebotがそのURLにアクセスした際にどのようなコンテンツを見ているか(クローキングの有無)をリアルタイムで確認します。HTTPステータスコードが200 OKなのにコンテンツがスパムである場合は、クローキングの有力な証拠となります。
サーバーアクセスログの監視
ホスティングプロバイダーから定期的にサーバーアクセスログを取得し、不審なIPアドレスからのアクセス、異常なリクエストパターン、通常アクセスされないディレクトリへのリクエストなどを詳細に分析しています。これにより、ハッキングの侵入経路やボットの活動を特定する手がかりが得られることがあります。
セキュリティは継続的な戦い
ホームページへのハッキングやネガティブSEO攻撃は、その手口が日々巧妙化しており、見た目には気づきにくい形で進行し、ジワジワとSEOに悪影響を及ぼすことがあります。Google Search Consoleに「意味不明なURL」が表示されている場合、それは決して放置できない、サイトの健全性に対する明確な警告です。
私の経験が示すように、「セキュリティの問題」レポートがクリーンであっても、自動スキャンで問題が見つからなくても、水面下で深刻な問題が進行している可能性があります。
これらの問題は、最終的に検索ランキングの低下、トラフィックの減少、そしてブランドイメージの損傷に繋がります。
もし、この記事を読んでいるあなたが弊社と同じような問題に直面しているのであれば、今回詳述した複合的な対策を一つずつ実行していくことを強くお勧めします。
そして、もしこれらの対応が難しいと感じる場合や、ご自身での解決が困難な場合は、ウェブセキュリティの専門家やマルウェア除去サービスの協力を得ることも、早期解決のための賢明な選択肢です。
ホームページのセキュリティと健全性の維持は、一度行えば終わりというものではなく、継続的な監視と対策が必要です。
この情報があなたのサイトを守る一助となれば幸いです。
