これまでの記事では、なりすましメール、WordPress の攻撃面、通信の暗号化と、比較的「表に出やすい論点」を取り上げてきました。今回は、見た目には現れにくいながら、サイトとメールの信頼性に静かに影響する2つの領域、セキュリティ応答ヘッダとブラックリスト(迷惑メール・脅威リスト)をご紹介します。
「応答ヘッダ」とは何か
ブラウザがウェブサイトを開くとき、サイト側からは「ページの中身」と一緒に、「このページはこういう振る舞いが正しい」という指示書のようなデータも送られています。それが応答ヘッダです。普段は目に触れませんが、ブラウザはこの指示を踏まえて、ページの表示や動作を調整します。
セキュリティに関わる応答ヘッダがきちんと設定されていれば、サイトを乗っ取られて偽の操作画面を表示される手口や、悪意のあるコンテンツの読み込みなどを、ブラウザ側で防ぎやすくなります。逆に何も設定されていないと、ブラウザは「安全側に倒した制限」を効かせにくくなります。
主要な応答ヘッダの役割を一言ずつ
- Strict-Transport-Security(HSTS)
「今後このサイトは必ず https で開いてください」とブラウザに伝える設定です。前回ご紹介した「通信の暗号化」と直結します。 - X-Content-Type-Options
「サーバーが指定したファイル種別を、ブラウザ側で勝手に推測しない」ことを指示します。意図しないファイル実行のリスクを下げます。 - Referrer-Policy
サイトから外部リンクをクリックして移動する際に、「どこから来たか」の情報をどこまで相手に渡すかを制御します。プライバシー配慮の観点でも推奨される設定です。 - X-Frame-Options / Content-Security-Policy(frame-ancestors)
「このサイトを他のサイトの中に埋め込んで表示することを許可しない」と宣言する設定です。後述するクリックジャッキング対策の基本になります。 - Permissions-Policy
カメラ・マイク・位置情報など、ブラウザの機能のうちサイトが必要なものだけを明示的に許可する設定です。第三者スクリプトが余計な機能にアクセスしようとした場合の歯止めになります。
クリックジャッキングという手口
応答ヘッダがないとどんな手口に利用されるか、代表的な例がクリックジャッキングです。
- クリックジャッキング
悪意のあるサイトへのリンクやボタンを透明な層として、正規のページの上に重ね合わせる手口です。利用者は表示されている正規のボタンを押したつもりでも、実際には透明な悪意のリンクをクリックしてしまい、意図しない操作や情報の送信が実行されてしまいます。X-Frame-Options や CSP の frame-ancestors を設定していると、ブラウザ側でこの「他サイトへの埋め込み」を拒否し、こうした重ね合わせを成立しにくくできます。
coremeo-check の「セキュリティ用の応答ヘッダ」項目では、これらの主要なヘッダの設定状況をまとめて確認します。「主要な3つ+フレーム保護+Permissions-Policy が揃っている」状態が🟢、一部だけ設定されている状態が🟡、ほとんど未設定の状態が🔴となります。
もう一つの「見えない設定」── ブラックリスト診断
もう一つ、外からは見えにくいけれど、事業に静かに影響することがあるのが、メール送信元のブラックリスト登録です。
- DNSBL(DNS-based Blackhole List)
世界中のメールサーバーが参照している、「過去に迷惑メールを送ったことがある送信元 IP のリスト」です。受信側のメールサービスは、メールを受け取るときにこのリストを参照し、登録されていれば受信拒否や迷惑メール扱いにすることがあります。
厄介なのは、「自社が悪いことをしていない」のに、登録されてしまう場面がある点です。例えば共有レンタルサーバーを使っている場合、同じサーバーの別ユーザーが迷惑メールを送ってしまうと、IP アドレスが共有されているため、自社にも巻き込みでブラックリスト登録の影響が及ぶことがあります。
coremeo-check の「ブラックリスト診断」項目では、診断対象ドメインのメール送信元 IP を取得し、商用利用が確認できる公開 DNSBL(PSBL)に登録されていないかを確認します。共有ホスティングと判定された場合は、巻き込み登録の可能性に配慮して🟡で表示する設計にしています。
対応の進め方 ── 静かな信頼性を取り戻す
- 応答ヘッダの追加:サーバーの設定(.htaccess や Nginx 設定、CDN の設定)や、WordPress であればセキュリティ系プラグインから追加することができます。サイトの仕様によっては、表示崩れの確認が必要なヘッダ(CSP など)もありますので、段階的な導入が安全です。
- ブラックリスト登録の確認:登録されていると判定された場合、まずは送信元 IP(共有か専有か)と、過去に大量送信や設定ミスがなかったかをご確認ください。削除申請の手順や、メール送信元の見直し(送信ドメインや SMTP 経由の整理)は、状況により対応方針が変わります。
判断に迷う場合は、当社で30分の無料相談を承っています。共有サーバーによる巻き込み登録か、自社固有の事情によるものかの切り分けからご一緒に整理します。
MEO 対策で問い合わせが増えても、返信メールが届かないと商機を逃します。応答ヘッダもブラックリストも、「外からは見えないけれど、信頼性の土台を支える設定」として、定期的に状態を確認しておくのがおすすめです。
シリーズのまとめ
これで、coremeo-check で確認できる7項目について、順を追ってご案内しきりました。改めて整理すると次のとおりです。
- なりすましメール対策(SPF / DMARC / DKIM) ── メールが取引先に正しく届く土台
- WordPress の攻撃面 ── 自動攻撃の手がかりを外に出しすぎない
- HTTPS(通信の暗号化)/TLS 証明書/混在コンテンツ ── 訪問者の目に見える「保護されていない通信」を起こさない
- セキュリティ応答ヘッダ ── ブラウザに「安全側」の振る舞いを指示する
- ブラックリスト診断 ── 自社メールが届かない事態を静かに防ぐ
いずれも、サイトの「見えない足元」を整えるための入口の項目です。これらが🟢の状態になっていることは、それだけでサイトが「完全に安全」だと保証するものではありませんが、狙われやすい状態を作らない、取引先や顧客の信頼を損なわないための最低限の備えとして、定期的なご確認をおすすめします。
まずは自社サイトを診断してみる
URL を入力するだけ、登録は任意、攻撃的なアクセスを行わない設計です。診断結果は信号機の色でその場で表示されます。
※ coremeo-check は受動診断ツールであり、ウェブサイトやメールの安全性を保証するものではありません。診断結果は外部から確認できる公開情報の範囲に限定されます。具体的な対応の必要性・優先順位は、各サイト・各事業の運用状況に応じてご判断ください。
コメント