本頁作成日: 2007年9月13日
最終更新日: 2009年10月27日

なりすまし対策: 自サイトは「検索してください」で誘導しない
検索は時にウイルスを呼ぶことも




概要
  Web検索は「風の噂」を調べるにはよいでしょうが、「絶対番地」を調べる人には「なりすまし」等の障害があって
  おおよそ適切なインフラとはいえません。

  本来のWeb検索は、他人に勧められて行うものではなく、マイコンピュータの中を探すのとは違うそのリスクを
  承知した人が自分の意思で行うものです。

  フィッシング詐欺等の被害者を一人でも減らすため、URLが決まっている自サイトへは「検索してください」
  ではなく、「URL」で誘導するようにしましょう。





具体的には
  ラジオの CM などから Webサイトへ誘導する際に、URL を告げずに「○×□株式会社で検索してください」としか
  アナウンスされない事例
がありますが、これは、“なりすまし”サイトの温床ともなり得るとても危険なことなのです。


  かなり唐突ですが、たとえば株に興味を持ったとして、その株について、どこかの証券会社で調べてみたくなった
  としましょう。


  手元に PC があったりすると、「Web検索」が手っ取り早いと思われる訳ですが、
  いざ、○×△證券(実在する証券会社名に置き換えて下さい)で Webブラウザから検索した場合
  どう見ても、○×△證券とは関係なさそうなサイトが検索結果のわりと上位に沢山いたりしませんか?

  多くの場合は、「アフィリエイト広告」をクリックして欲しいだけ、○×△證券オリジナルは一切関与しない、全くのお他人様
  であると思われますが、それにしても、○×△證券オリジナルのサイトよりも意外に上位にいたりしませんか?
  彼らは、META タグで“○×△證券”を見出し語に忍ばせることで、たとえ本文にそれらしいことが一切書いてなくても、
  これからも、随時、検索結果に ListUp されてくることでしょう。

  広告主が一枚噛んでいるWebサイトを優先的に検索結果の上位に配置しようとする検索エンジンもあったりで、
  まず、検索結果の順位付け自体、あてにならないものです(「検索エンジンの広告主」=「商標の主」とは限らない問題)。


  一見してわかりやすいお他人様ならば、クリックしなければ済むだけのお話なのですが、問題は“偽者”の存在です
  一時世間を騒がせることとなった、 Google.com の偽者サイト“Googkle.com” を例にしますが、これはその全盛期、
  “Google”をキーワードに、本家(http://www.google.com/)の検索エンジンで検索すると、オリジナルの日本語サイト、
  “http://www.google.co.jp/”よりも上位に ListUp されてしまうことがしばしばあったようです。
  (良くても悪くても話題性さえあれば、“偽者”は“オリジナル”を超えてしまうことがある)

  Web の検索結果とは、このように、時にはとんでもない偽者を掴んでくる場合もあるのです(※1)。
  この偽者が、「私が本物です」と主張し、その広告が拡散してしまったら、どうなるのでしょうか? (=“なりすまし”の出現

  「なりすまし」との接触で困るものの一つに、ID や パスワードの盗難=「フィッシング詐欺」が挙げられるでしょう。
  「検索してください」から誘導される Webサイトで発生するユーザー認証、および ID や パスワードの入力は慎重に
  サイトの URL を検証することは、なりすまし対策上で必須です最初から URL が提示されていれば無駄が省ける)。

  また、Web上で行われるフィッシング詐欺は、今や、フォームデータ送信等、ユーザの操作を待っている律儀なものは稀です。
  Active X コントロールなどを用いてローカルに侵入、キーロガーなどで確実にユーザから有益情報を盗み取ります(※2)。
  環境変数に検索文字列:「○×△證券」「△○銀行」などが含まれている場合、その訪問者だけにターゲットを絞ってから
  キーストロークやクリップボードの内容を盗めばいいので、検索エンジン経由は悪意ある第三者には効率がいいはずです。

  もしも、オリジナルが Active X コントロールを無防備に使うならば、なりすましも Active X コントロールを使いたい放題でしょう。
  「検索してください」から誘導される Active X コントロールを使ったサイトが恐ろしいのは、容易に想像が可能でしょう。


  フィッシング詐欺等の被害者達はどうしてそのような被害に遭ってしまったのでしょうか?
  それらの多くは本来アクセスしなければならない正しいURLを教えてもらえなかったからだと考えてみたことはありませんか?

  |
  |あなたの会社の顧客になるはずだった人が途中で躓いた。
  |それは「検索してください」などといった曖昧な広告が原因だった………と、思い当たる節はありませんか?
  |また、(顧客から利益を受ける一員でもある)サイト管理者は、「インターネットする時の一般常識」で片付けていいのでしょうか?
  |


  関連
  なりすまし対策: URLは “http(s)://” から表記を
   
  Google の“なりすまし”サイトにご注意 = typo-squatting


    ※1:
    リンク先は当サイト外です。 株式会社Impress Watch より:
      「手編みの手袋」で検索してウイルス感染も、F-Secureがサイトの脅威警告
      http://internet.watch.impress.co.jp/cda/news/2008/04/04/19088.html

    リンク先は当サイト外です。 IT Pro より:
      「ノートン・アンチウイルス」をかたる偽セキュリティソフト出現
      Google経由で配布サイトに誘導、「ノートンカラー」の黄色で誤解させる
      http://itpro.nikkeibp.co.jp/article/NEWS/20080924/315283/

    リンク先は当サイト外です。 ITmedia エンタープライズ より:
      不正ブログにGoogle Trends活用 アクセス稼いでマルウェア配布
      Google Trendsの検索用語ランキングが悪用され、マルウェアを仕掛けた偽ブログにユーザーを引き寄せる目的で使われているという。
      http://www.itmedia.co.jp/enterprise/articles/0810/03/news023.html

    リンク先は当サイト外です。 ITmedia エンタープライズ より:
      Google広告の悪用でマルウェア感染サイトへ誘導
      「Googleがなぜ悪用を阻止しないのか理解し難い」とMcAfee。
      http://www.itmedia.co.jp/enterprise/articles/0803/18/news028.html

    リンク先は当サイト外です。 ITmedia エンタープライズ より:
      セキュリティ対策ソフトの売り込み、検索広告を悪用する
      例えば、「Microsoft Antispyware」の広告リンクをクリックすると、詐欺的ソフトの配布サイトに誘導される。
      http://www.itmedia.co.jp/enterprise/articles/0802/20/news025.html

    リンク先は当サイト外です。 株式会社Impress Watch より:
      個人情報の入力が増える一方、防御策には「自信なし」〜シマンテック調査
      http://internet.watch.impress.co.jp/cda/news/2007/12/20/17958.html

    2009.10.27 追記:
    リンク先は当サイト外です。 エフセキュアブログ/ ウェブセキュリティチーム/ Choon Hong氏(翻訳:F-Secureスタッフ 中野 恵美子氏)/:
      偽AVがエフセキュアをエサに
      http://blog.f-secure.jp/archives/50296674.html

    2009.10.22 追記:
    リンク先は当サイト外です。 エフセキュアブログ/ ウェブセキュリティチーム/ Chu Kian氏(翻訳:F-Secureスタッフ 中野 恵美子氏)/:
      アラスカ譲渡記念日とSEO攻撃
      http://blog.f-secure.jp/archives/50294375.html

    2009.10.21 追記:
    リンク先は当サイト外です。 エフセキュアブログ/ ウェブセキュリティチーム/ Choon Hong氏(翻訳:F-Secureスタッフ 中野 恵美子氏)/:
      偽Facebook、偽ビデオ、偽CAPTCHA
       |
       |Facebookで映像を視聴するのは一般的な行動だ。
       |よって不用心なユーザーをマルウェアに感染させるのに使用される、偽の模倣サイトが数多くあっても驚くべきことではない。
       |
       |以下は、昔から良くある「Flash Playerアップグレード・インストール」トリックを使用し、
       |若干のひねりを加えた悪意あるJavaScriptを持つ偽Facebookサイトの一つだ。
       |
       |例によってユーザーは、プレイヤーをアップグレードすれば、映像を見ることになるだろうと思っている:
       |
       |しかし最初に、「アップグレード」をダウンロードし、インストールしなければならない:
       |
       |通常と異なるのは、この「アップグレード」はCAPTCHAポップアップと共に始まるということだ:〜〜〜
       |
       |〜〜〜ユーザーがCAPTCHAテストと格闘している間に、マルウェアは「C:\Windows」に2、3のファイルをコピーし、
       |自身を削除し、いくつかのレジストリ・キーを作成する。
       |
       |我々はこのマルウェアが「Trojan:W32/Agent.MDN」であることを確認した。
       |
       |エフセキュアの「Browsing Protection」は、あらゆる偽Facebookサイトをブロックする。
       |とは言え、いつもと同様、ネットサーフィン中は慎重に。
       |
      http://blog.f-secure.jp/archives/50293950.html 註記:左記は情報ソースのURLであって、悪意あるサイトではない)


     ※2:
    リンク先は当サイト外です。 ITpro 日経BP社 より:
      デスクトップが乗っ取られるとき
      http://itpro.nikkeibp.co.jp/article/COLUMN/20071113/287001/?ST=security

    リンク先は当サイト外です。 日本エフ・セキュア社 より:
      エフ・セキュア社、「Man in the Browser」による攻撃に警告
      http://www.f-secure.com/ja_JP/about-us/pressroom/news/2007/fs-news_20071121_01_jp.html

    リンク先は当サイト外です。 ZDNet Japan より:
      気づかないまま1年…こっそり仕掛けられるキーロガーの脅威にご注意
      http://japan.zdnet.com/security/story/0,3800079245,20361725,00.htm

    リンク先は当サイト外です。 ITmedia エンタープライズ より:
      闇市場で取引 個人情報入りデータ100Mバイトは約1万円
      サイバー犯罪者の手口はフィッシングメールから「使い捨て型」トロイの木馬に移行。盗んだデータは100Mバイト当たり1万円で取引されている。
      http://www.itmedia.co.jp/enterprise/articles/0804/17/news072.html

    リンク先は当サイト外です。 Computerworld.jp(株式会社IDGジャパン) より:
      二段攻撃でユーザーを欺くフィッシング・サイトが発覚
      個人情報の入力を促す従来手法に加え、トロイの木馬で情報収集を図る
      http://www.computerworld.jp/topics/vs/105629.html

    2009.10.18 追記:
    リンク先は当サイト外です。 エフセキュアブログ/ ブログメンバー:株式会社ラック サイバーリスク総合研究所 コンピュータセキュリティ研究所 所長 岩井 博樹 氏/
      フィッシングメールっておいしいビジネスモデルなのか?
      http://blog.f-secure.jp/archives/50291552.html






目次へ戻る