マルウェアや望ましくないソフトウェア
Google では、ユーザー エクスペリエンスに悪影響を及ぼすソフトウェアやダウンロード可能な実行ファイルがウェブサイトでホストされていないかどうかを確認しています。マルウェアおよび望ましくないソフトウェアは、ダウンロード可能なバイナリ、またはウェブサイトで実行され、ウェブサイトを訪問したユーザーに影響を与えるアプリケーションのいずれかです。サイトでホストされている不審なファイルの一覧は、[セキュリティの問題] レポートで確認できます。
マルウェアとは
マルウェアとは、ソフトウェアまたはモバイルアプリであり、特にパソコン、モバイル デバイス、それらで実行されているソフトウェア、およびそれらのユーザーに有害な影響を与えることを目的として設計されたものを指します。マルウェアは、ユーザーの同意なしにソフトウェアをインストールする、ウイルスなどの有害なソフトウェアをインストールするなど、悪意のある動作を示します。ダウンロード可能なファイルがマルウェアとみなされることをウェブサイトの所有者が知らずに、こうしたバイナリを意図せずホストしてしまうことがあります。
- ユーザーを悪意のあるダウンロードから保護するための Google の取り組みについて詳しくは、Google オンライン セキュリティ ブログの悪意のあるダウンロードからのユーザーの保護に関する記事をご覧ください。
- ウェブ上の安全なソフトウェアに関する Google の基準については、望ましくないソフトウェアに関するポリシーをご覧ください。
望ましくないソフトウェアとは
望ましくないソフトウェアとは、不正な行為や予期しない動作、ユーザーのウェブ閲覧やパソコン操作に悪影響を及ぼす動作を引き起こす実行ファイルやモバイルアプリのことを指します。たとえば、ホームページ設定やその他のブラウザ設定をユーザーが望んでいない設定に変更するソフトウェアや、適切な開示を行わずに個人情報を漏洩するアプリが該当します。
望ましくないソフトウェアからユーザーを保護するための Google の取り組みについて詳しくは、Google オンライン セキュリティ ブログの意図しないダウンロードに関する記事をご覧ください。
問題の解決
サイトまたはアプリがガイドラインに準拠していることを確認したうえで、[セキュリティの問題] レポートから審査をリクエストしてください。
モバイルアプリで警告が表示される場合は、再審査を請求できます。
ガイドライン
望ましくないソフトウェアに関するポリシーに違反していないことを確認し、以下に示すガイドラインに準拠してください。このリストはすべての違反を網羅したものではありませんが、以下のような操作は、プログラムのダウンロード時やウェブサイトへのアクセス時にアプリとウェブサイトでユーザーに警告が表示される原因となる場合があります。サイトでホストされている不審なファイルの一覧は、[セキュリティの問題] レポートで確認できます。
不実表示の禁止
- ソフトウェアの目的と意図をユーザーに正確に伝えてください。ユーザーがソフトウェアをダウンロードする際は、ダウンロード内容を明瞭に示す広告を適切に表示し、ユーザーがそれをクリックすることによってダウンロード内容を正確に把握した状態で、自身の意思に基づきソフトウェアをダウンロードできるようにする必要があります。ユーザーをダウンロードに誘導する広告では、次のような虚偽の内容または不正確な内容を表示しないでください。
- 広告に「ダウンロード」や「再生する」などの単語のみが記載され、広告対象のソフトウェアが明示されていない。
- 「再生する」ボタンでダウンロードに誘導する。
- パブリッシャーのウェブサイトに似た外観を持ち、コンテンツ(動画など)の提供と誤認させて、実際には無関係のソフトウェアのダウンロードに誘導する広告。
- Google のオンライン セキュリティのブログでソーシャル エンジニアリングに関する記事をご覧ください。
- 動作内容を広告で正しく説明してください。プログラムの機能と意図を明示するようにします。プログラムでユーザーデータを収集する、またはユーザーのブラウザに広告を挿入する場合は、そうした動作をわかりやすい表現で明記します。取るに足らないことのように説明しないでください。
- ソフトウェアによってブラウザとシステムがどのように変更されるかを、ユーザーに明確に説明してください。ユーザーがすべての重要なインストール オプションと変更内容を確認したうえで承認できるようにします。プログラムのメイン ユーザー インターフェースでは、バイナリのコンポーネントとそれらの主要な機能を明示する必要があります。バイナリでは、バンドルされたコンポーネントのインストールをユーザーが簡単にスキップできるようにする必要があります。たとえば、こうしたオプションを非表示にする、またはほとんど見えないテキストを使用するのは、明示方法として不適切です。
- 推奨のロゴなどは承認を受けている場合にのみ使用してください。他の企業のロゴを不正な方法で使用して、商品の正当化または推奨は行わないでください。承認を受けずに政府機関のロゴを使用しないでください。
- ユーザーに恐怖心を与えないでください。システムがセキュリティの危険にさらされている、ウイルスに感染していると根拠なしに主張するなど、ソフトウェアでユーザーのマシンの状態を不実表示してはいけません。ソフトウェアで提供していない、または提供できないサービス(「パソコンを高速化します」など)の提供を主張しないでください。たとえば、パソコンのクリーンアップ ツールや最適化ツールの広告の場合、「無料」ツールとして広告できるのは、広告に表示されているサービスやコンポーネントに対する課金が不要な場合に限られます。
ソフトウェアに関するガイドライン
- Chrome の設定を変更するプログラムの場合は Google の Settings API を使用してください。ユーザーのデフォルトの検索設定、起動ページ、新しいタブの画面に対する変更は Chrome Settings Override API を使用して行う必要があります。これを行うには Chrome 拡張機能を使用するとともに、拡張機能のインストール フローに準拠することが必要です。
- ブラウザとオペレーティング システムのダイアログでユーザーに適切に通知が表示されるようにしてください。ブラウザやオペレーティング システムからユーザーに表示される通知(特に、ブラウザや OS に対する変更をユーザーに伝えるもの)は非表示にしないでください。
- コードへの署名をおすすめします。バイナリが未署名であることは、バイナリを望ましくないソフトウェアとして報告する根拠とはなりませんが、コード署名機関によって発行された、確認済みの有効なコード署名(確認可能な公開元情報が記載されたもの)をプログラムに含めることをおすすめします。
- TLS 接続や SSL 接続によるセキュリティと保護手段の効果を低下させないでください。アプリケーションでルート認証局証明書をインストールすることはできません。エキスパートによるソフトウェアのデバッグや調査を目的とした場合を除き、ソフトウェアで SSL 接続や TLS 接続を傍受することはできません。詳細については、関連するGoogle のセキュリティに関するブログ記事をご覧ください。
- ユーザーのデータを保護してください。ソフトウェア(モバイルアプリを含む)がユーザーの個人データをサーバーに送信できるのは、その個人データがアプリの機能に関係しており、かつ、個人データを送信することをユーザーに開示して、データ送信を暗号化している場合に限られます。
- 有害な影響を及ぼさないようにしてください。バイナリを使用する場合は、ユーザーのブラウジング エクスペリエンスを尊重し、有害な影響を及ぼすことのないようにする必要があります。ダウンロード可能なバイナリについて、次の基本的なポリシーに準拠していることをご確認ください。
- ブラウザのリセット機能を阻止しないでください。Chrome のブラウザ設定のリセットボタンについてご確認ください。
- 変更の設定に関して、ブラウザまたはオペレーティング システムの UI コントロールをバイパスしたり、非表示にしたりしないでください。プログラムでは、ブラウザで発生する可能性がある設定の変更について、ユーザーに通知を行いコントロールする必要があります。Chrome の設定を変更するには、Settings API を使用します(こちらの Chromium ブログの記事、新しい Settings API を使用して Windows 上のユーザー設定を保護するをご覧ください)。
- Google Chrome の機能を変更する場合は拡張機能を使用し、他のプログラマティックな手段によりブラウザの動作を変更しないでください。たとえば、プログラムで DLL(ダイナミック リンク ライブラリ)を使用してブラウザに広告を挿入することや、トラフィックを傍受するプロキシをデプロイすること、LSP(レイヤード サービス プロバイダ)を使用してユーザーの操作を傍受すること、Chrome バイナリにパッチを適用して各ウェブページに新しいユーザー インターフェースを挿入することは回避してください。
- 製品やコンポーネントの説明でユーザーに恐怖心を与えないでください。また、虚偽の表記や誤解を招く表現をしないでください。たとえば、製品において、システムのセキュリティ状態の危険度やウイルス感染について、虚偽の内容を伝えないでください。また、レジストリのクリーンアップ ツールのようなプログラムにおいて、ユーザーのパソコンやデバイスの状態を警告するメッセージを表示することや、パソコンを最適化できると主張することは避けてください。
- アンインストールのプロセスは、確認しやすく簡単なものとし、脅しを伴わないようにしてください。プログラムでは、ブラウザやシステムを以前の設定に戻すための手順を明示する必要があります。アンインストーラにより、すべてのコンポーネントが削除されるようにしてください。また、アンインストーラでは、ユーザーにアンインストール プロセスの続行をやめさせるようなこと(たとえば、該当のソフトウェアをアンインストールした場合にユーザーのシステムやプライバシーに悪影響が及ぶ可能性があることを示すなど)はしないでください。
- バンドルするほかのソフトウェア コンポーネントも上記に準拠したものにしてください。ソフトウェアがほかのソフトウェア コンポーネントをバンドルしている場合は、すべてのコンポーネントが推奨事項に違反していないことを確認する必要があります。
Chrome 拡張機能に関するガイドライン
-
すべての拡張機能は情報の開示と Chrome へのインストールにおいてポリシーに準拠する必要があります。拡張機能は、Chrome ウェブストアでホストされ、デフォルトで無効にされており、かつ Chrome ウェブストアのポリシー(単一の目的に関するポリシーを含む)に準拠していなければなりません。プログラムから拡張機能をインストールする場合は、公認の Chrome 拡張機能インストール フローを使用する必要があります。このフローでは Chrome 内で拡張機能の有効化を求めるプロンプトがユーザーに表示されます。設定の変更をユーザーに通知する Chrome のダイアログを拡張機能で非表示にすることはできません。
- Chrome 拡張機能の削除方法について、ユーザーに手順を示してください。ユーザーがプログラムをアンインストールする際には、そのプログラムと一緒にインストールされたものもすべて削除されるようにすることが重要です。アンインストールのフローには、ユーザーが自分で拡張機能そのものを無効にして削除するための手順が含まれます。
-
バイナリがブラウザのアドオンをインストールする、またはデフォルトのブラウザ設定を変更する場合は、ブラウザでサポートされるインストール フローと API に従う必要があります。たとえば、バイナリで Chrome 拡張機能をインストールする場合は、Chrome 拡張機能が Chrome ウェブストアでホストされ、Chrome のデベロッパー プログラム ポリシーに準拠している必要があります。Chrome の拡張機能配信の代替オプションに関するポリシーに違反する Chrome 拡張機能をインストールしたバイナリは、マルウェアと判断されます。
- 自動インストールに関する Chromium ブログやオンライン セキュリティ ブログの記事をご覧ください。
- Chrome ウェブストアで拡張機能を公開する方法についての記事をご覧ください。
モバイルアプリに関するガイドライン
-
データを収集する意図をユーザーに伝えてください。デバイス上のデータ(サードパーティのアカウント、メール、電話番号、インストール済みのアプリ、モバイル デバイス上のファイルに関するデータなど)の収集および送信を開始する前に、ユーザーがこれに同意できる機会を設けてください。収集したユーザーの個人データや機密データについては、最新の暗号化技術を使用して(たとえば、HTTPS 経由で)転送するなど、セキュリティを確保した状態で処理するようにします。Play 以外のアプリの場合は、アプリ内でのデータ収集についてユーザーに開示する必要があります。Google Play アプリで開示を行う場合は、Play のポリシーに準拠する必要があります。公開しているアプリの用途の範囲を超えるデータを収集しないでください。
- 他のブランドまたはアプリになりすますことはしないでください。ユーザーの混乱を招く可能性がある方法で、他のブランドまたはアプリと類似した、不適切あるいは不正な画像やデザインを使用しないでください。
- すべてのコンテンツがアプリのコンテキストを逸脱していない状態を保持してください。アプリが、他のアプリとデバイスのユーザビリティに干渉する状態は回避してください。ユーザーに通知したうえで同意を得て、表示される広告のソースの帰属を明確にしない限り、アプリでは、アプリ自体のコンテキストまたは機能の範囲を逸脱する広告やその他のコンテンツをユーザーに表示すべきではありません。
- ユーザーに対して行った誓約に基づいてアプリを配信してください。アプリでは、広告で示したすべての機能をユーザーが利用できる必要があります。アプリはアプリのコンテンツを更新することはできますが、情報を開示したうえでユーザーから同意を得ることなく、追加のアプリをダウンロードすることはできません。
- 動作の透明性を保持してください。アプリの用途として明示されている場合を除き、他のアプリまたはそれらのショートカットをアンインストールする、あるいは置き換えることはできません。アンインストールでは、完全にすべてを削除する必要があります。デバイスの OS や他のアプリを模倣したプロンプトをアプリで表示しないでください。
Google Play を通じて配布されるアプリは、デベロッパー プログラム ポリシーとデベロッパー販売 / 配布契約、それらの定める追加要件に準拠する必要があります。
If you're a Search Console user and are having trouble with persistent or unfixable security issues on your site, you can let us know.