Japanese Keyword Hackとは、WordPressサイトの中に日本語のスパムページを勝手に作られ、Google検索結果に怪しい通販ページのようなURLが大量に出てしまう攻撃です。
サイトを普通に開くと問題なさそうに見えることも多いため、初心者ほど「検索結果だけがおかしい」「自分のサイトなのに知らないページがある」と混乱しやすいのが特徴です。
20年以上ITエンジニアとしてWordPressの制作・保守・復旧に携わっている、よこやま良平です。この記事では、Japanese Keyword Hackを初心者向けに「見つけ方」「初動対応」「復旧後のSEO回復」まで順番に解説します。
- Japanese Keyword Hackとは何かを初心者向けに理解できる
- Google検索結果に出る怪しい日本語スパムページの確認方法がわかる
- 見つけた直後にバックアップ・権限確認・ファイル確認をどう進めるかがわかる
- 削除後にSearch Consoleで確認すべきSEO回復手順がわかる
最初に結論をいうと、Japanese Keyword Hackは「検索結果だけを直す問題」ではありません。WordPress本体、テーマ、プラグイン、サーバーファイル、データベース、Search Consoleの権限まで確認する必要があります。
Google公式のweb.devでも、ランダムなディレクトリに自動生成された日本語ページが作られたり、知らないSearch Console所有者が追加されたりするケースが案内されています。見た目のページだけで判断せず、検索結果と管理権限をセットで確認するのが重要です。
この記事では、専門用語をなるべく減らしながら、初心者でも「何を確認すれば危険なのか」がわかる順番で説明します。
目次
Japanese Keyword Hackとは何が起きる攻撃か
Japanese Keyword Hackとは、あなたのサイトの信頼性を悪用して、検索エンジン向けの日本語スパムページを勝手に作られる攻撃です。
理由はシンプルです。攻撃者は自分の怪しいサイトを直接上位表示させるより、すでに運営歴や評価のあるWordPressサイトを踏み台にしたほうが、検索結果に出しやすいと考えるからです。

Google検索だけに怪しいページが出る
よくある症状は、Googleで自分のドメインを検索したときに、見覚えのない日本語タイトルや商品名、通販サイト風の説明文が大量に表示される状態です。
一方で、ブラウザからトップページを開くと普通に表示されることがあります。そのため、サイト運営者が気づくのは「お客様から指摘された」「Search Consoleで警告が出た」「検索結果が変になった」というタイミングが多いです。
トップページが普通に見えるから安全、とは言い切れません。Japanese Keyword Hackでは、検索エンジンや特定条件のアクセスだけに別内容を見せる仕組みが使われることがあります。
普通に見ても見つからない理由
この攻撃では、スパムページが通常の投稿一覧や固定ページ一覧に出ないことがあります。ファイルやデータベース、`.htaccess`、不正なリダイレクト設定などで、表側から見えにくい場所に仕込まれるためです。
さらに、Googlebotにはスパムページを見せ、一般ユーザーには404や正常ページを見せるような動きが混ざることもあります。このような隠し方を「クローキング」と呼びます。
Japanese Keyword Hackの症状を確認する方法
Japanese Keyword Hackを疑ったら、最初に確認するべき場所は「検索結果」「Search Console」「サイトマップ」「管理権限」です。
闇雲にファイルを消す前に、どこにスパムが出ているか、Googleが何を認識しているか、誰がサイトの権限を持っているかを確認します。
site:検索で不審なURLを探す
初心者でも最初にできる確認方法は、Google検索で `site:` を使うことです。自分のドメイン内でGoogleに登録されているページだけを一覧できます。
site:example.com
site:example.com 通販
site:example.com ブランド
site:example.com inurl:wp-content検索結果に、運営していない商品ページ、見覚えのない日本語タイトル、ランダムな英数字のURL、怪しい説明文が出ていれば注意が必要です。
- 自分が作っていないURLが検索結果に出ていないか
- 日本語の商品名や通販風の説明文が混ざっていないか
- ランダムなディレクトリや数字だけのページが増えていないか
- クリックすると別サイトへ飛ばされないか
Search Consoleでセキュリティ問題を確認する
Search Consoleを使える場合は、「セキュリティと手動による対策」周辺を確認します。Googleがハッキングされたページや不正なコンテンツを検出している場合、ここに警告が出ることがあります。
URL検査も重要です。ブラウザで見たページと、Googleが取得した内容が違う場合、クローキングや不正リダイレクトの可能性があります。
知らないSearch Console所有者がいないか見る
Japanese Keyword Hackでは、攻撃者がSearch Consoleの所有者として追加されるケースもあります。所有者権限を取られると、サイトマップ送信や検索設定の操作に悪用される恐れがあります。
見覚えのない所有者、知らないHTML確認ファイル、`.htaccess`で動的に作られたGoogle確認ファイル風URLがないか確認してください。
知らない所有者が残っていると、ファイルを掃除しても再び検索設定を悪用される可能性があります。復旧作業では、ファイルだけでなく権限も必ず確認します。
Japanese Keyword Hackを見つけた直後の初動対応
Japanese Keyword Hackを見つけた直後は、削除より先に「証拠保全」と「再侵入の遮断」を優先します。
焦ってファイルを消すと、原因がわからないまま復旧したつもりになり、数日後に再発することがあります。現場では、この初動の差で復旧後の安定性が大きく変わります。

バックアップを取ってから作業する
まず、サーバーファイルとデータベースを作業前にバックアップします。感染ファイルを含むバックアップでも構いません。復旧中に必要なファイルを誤削除したとき、戻せる状態を作るためです。
バックアップはサーバー内だけでなく、ローカルや別ストレージにも保存します。サーバー内だけに置くと、攻撃者に消されたり、同じ障害に巻き込まれたりする可能性があります。
- 怪しいファイルをまとめて削除する
- データベースを一括置換する
- テーマやプラグインを根拠なく全削除する
- Search Consoleの警告だけを先に消そうとする
パスワードと権限を先に見直す
WordPress管理者、FTP/SFTP、サーバーパネル、データベース、Googleアカウントのパスワードを確認します。使い回しや弱いパスワードがあれば、すぐ変更してください。
不要な管理者ユーザー、知らないFTPアカウント、見覚えのないSearch Console所有者も確認します。ファイルを掃除しても、権限が残っていれば再侵入されます。
.htaccessと主要PHPファイルを確認する
Japanese Keyword Hackでは、`.htaccess`に不正なリダイレクトやGoogle確認ファイル風のルールが入ることがあります。WordPressなら、サイト直下だけでなく、下層フォルダの`.htaccess`も確認対象です。
あわせて、`index.php`、`wp-load.php`、`404.php`、テーマ内のPHP、uploadsフォルダ内の不審なPHPも確認します。特に、更新日時が急に新しいファイルや、読めない文字列が長く続くコードは注意が必要です。
eval(...)
base64_decode(...)
gzinflate(...)
strrev(...)
rot13(...)
preg_replace(... /e ...)`.htaccess`、`wp-config.php`、データベース、テーマのPHPは、1行消しただけでサイト全体が表示されなくなることがあります。編集前に必ずバックアップを取り、判断が難しい場合は専門家に確認してください。
Japanese Keyword Hackの削除とSEO回復手順
Japanese Keyword Hackの復旧は、マルウェア削除だけで終わりではありません。検索結果に残ったスパムURLを整理し、Googleに正常化を伝えるところまで必要です。
感染箇所を掃除しても、GoogleのインデックスにスパムURLが残ると、しばらく検索結果に怪しいページが表示され続けることがあります。
感染ファイルと不正データを削除する
まず、WordPress本体の改変、テーマ・プラグインの不正コード、uploads内のPHP、`.htaccess`、不審なサイトマップ、データベース内のスパム投稿や不正オプションを確認します。
本体ファイルや公式プラグインは、可能なら正規の最新版に差し替えるのが安全です。改変されたファイルを目視で直すより、正規ファイルと入れ替えたほうが漏れを減らせます。
スパムURLを404または410にする
削除後は、スパムURLが正常に404または410を返すか確認します。Google公式のJapanese Keyword Hack解説でも、問題ページが「Not Found」になるか確認する流れが案内されています。
ここで重要なのは、スパムURLをトップページへ全部リダイレクトしないことです。関係ないページへ転送すると、Googleに「まだ何かある」と判断されることがあります。
- スパムURLが404または410を返している
- 不審なサイトマップが残っていない
- Search Consoleに知らない所有者がいない
- URL検査で表示内容の差がない
Search Consoleで再確認する
掃除が終わったら、Search Consoleでセキュリティ問題、URL検査、サイトマップを確認します。警告が出ている場合は、原因を取り除いたうえで再審査を依頼します。
インデックスに残ったスパムURLは、すぐに全消滅するとは限りません。重要なのは、サーバー側で正しいステータスを返し、Googleに正常な状態を再クロールしてもらうことです。
Japanese Keyword Hackの再発を防ぐ対策
Japanese Keyword Hackは、一度掃除しても入口が残っていれば再発します。復旧後は、WordPressの入口を減らし、管理権限を見直し、更新を止めない運用に切り替える必要があります。
Googleのマルウェア予防ガイドでも、強いパスワード、ソフトウェア更新、Search Consoleでの監視、ログ確認、SSH/SFTPなど安全な通信の利用が重要とされています。
WordPress・テーマ・プラグインを更新する
古いWordPress本体、放置されたプラグイン、更新されていないテーマは狙われやすい入口です。不要なプラグインは削除し、使うものだけを最新版に保つのが基本です。
ただし、感染中のサイトでいきなり全更新すると、証拠が消えたり、別の不具合が起きたりすることがあります。復旧作業では、バックアップと原因調査をしたうえで更新します。
ログインとuploadsフォルダを守る
WordPressでは、ログイン画面、XML-RPC、uploadsフォルダのPHP実行などが攻撃の入口になります。ここを守るだけでも、再発リスクを下げられます。
よこやまさんの無料プラグイン「クイックレスキュー365」は、ログインURL変更、XMLRPC遮断、ユーザー名漏えい防御、uploadsフォルダPHP動作禁止など、再発防止向けの機能をまとめて使えます。
クイックレスキュー365は、マルウェアをスキャンして検出するプラグインではありません。感染確認にはWordfenceなどのスキャン系ツールも使い、再発防止には入口を塞ぐ対策を組み合わせるのが現実的です。
Search Consoleを定期的に見る
復旧後も、Search Consoleのセキュリティ問題、インデックス登録、サイトマップ、検索パフォーマンスを定期的に確認します。
Japanese Keyword Hackは、検索結果側に先に症状が出ることがあります。月1回でも `site:` 検索とSearch Consoleを確認しておくと、初期段階で気づきやすくなります。
Japanese Keyword Hackでやってはいけないこと
Japanese Keyword Hackで一番危険なのは、原因を確認せずに「見えているスパムだけ」を消して終わらせることです。
検索結果、ファイル、データベース、権限、再発防止のどれかが抜けると、復旧したように見えても再感染する可能性があります。
全ファイル削除や初期化だけで解決しようとしない
「全部消して入れ直せばよい」と考えるのは危険です。必要な画像、投稿、設定、会員情報、フォーム履歴まで消えることがあります。
さらに、Search Consoleの不正所有者やサーバーパネルの権限が残っていれば、ファイルを入れ直しても再発します。削除だけではなく、入口と権限を確認してください。
スキャン結果だけで安全判断しない
セキュリティスキャンは役立ちますが、万能ではありません。スキャナーで検出されない不正な`.htaccess`、データベース内のスパム、Search Consoleの権限問題が残ることもあります。
「スキャンで何も出ない」ではなく、「検索結果に変なURLがない」「Search Consoleで警告がない」「不審な権限がない」「スパムURLが404/410を返す」まで確認します。
- Google検索結果に知らない日本語ページが出る
- Search Consoleに知らない所有者がいる
- クリックすると別サイトへ転送される
- 削除したはずのスパムURLが何度も復活する
Japanese Keyword Hackのよくある質問
いいえ。日本語サイトだけではありません。英語サイトや企業サイトでも、検索結果に日本語スパムページを出す目的で狙われることがあります。
攻撃者の目的は、あなたのサイトの信頼性を使ってスパムページを検索結果に出すことです。サイトの言語より、WordPressの脆弱性や管理状態が狙われます。
すぐに消えるとは限りません。サーバー側でスパムURLを404または410にし、Search Consoleで再クロールや確認を進めても、検索結果の反映には時間がかかることがあります。
焦ってトップページへリダイレクトするより、正しいステータスを返してGoogleに正常な状態を認識してもらうことが重要です。
軽いケースなら、バックアップ、パスワード変更、プラグイン更新、スパム投稿削除などで改善することもあります。ただし、`.htaccess`、PHP、データベース、Search Console権限まで絡む場合は難易度が上がります。
初心者が無理に触ると、サイトが真っ白になったり、必要なデータを消したりすることがあります。原因が特定できない場合は、専門家に依頼するのが安全です。
入口を塞ぐことです。WordPress本体・テーマ・プラグインの更新、不要ユーザー削除、強いパスワード、二段階認証、XML-RPC対策、uploadsフォルダのPHP実行禁止などを組み合わせます。
あわせて、Search Consoleと `site:` 検索を定期的に確認すると、検索結果側の異変にも早く気づけます。
Japanese Keyword Hackの復旧手順まとめ
Japanese Keyword Hackは、WordPressサイト内にスパムページを作られ、検索結果を汚される攻撃です。トップページが普通に見えても、検索結果やSearch Consoleでは異常が出ていることがあります。
復旧では、バックアップ、権限確認、感染ファイルの削除、データベース確認、スパムURLの404/410確認、Search Consoleでの再確認までを順番に進める必要があります。
- まず `site:` 検索とSearch Consoleで症状を確認する
- 削除前にファイルとデータベースをバックアップする
- `.htaccess`、主要PHP、uploads、DB、サイトマップ、権限を確認する
- スパムURLを正しく404または410にする
- 復旧後は更新・ログイン保護・Search Console監視で再発を防ぐ
Japanese Keyword Hackは、見た目よりも深い場所に原因が残ることがあります。少しでも不安がある場合は、無理に削除を続けず、状況を保存したうえで相談してください。
参考情報として、Google公式の Fix the Japanese keyword hack と Preventing malware infection も確認すると、Search Consoleで見るべきポイントを整理しやすくなります。
WordPressのマルウェア感染が自分で直せない時は

ワードプレスのWordPressエラートラブル解決をしたいなら
クイックレスキューが解決します。
・WordPressが真っ白画面
・WordPressがログインできない
・ホームページのマルウェアや乗っ取り
・サイトの表示くずれ
・エラーが表示されている
これらでお悩みなら最短30分ですぐに解決します!
いまなら期間限定で
・万一改善されない場合は全額返金保証で安心!
・30日間動作保証で安心!
・初期費・調査料 0円で安心!










