自社の偽Webサイトが検索トップに……あなたならどうする？：半径300メートルのIT

近年、Webサイトやメールを利用したフィッシングはますます高度化し、一見しただけでは本物と偽物の区別が付かないケースも出てきています。さらに自社のWebサイトが検索トップに表示されるなんてことも起きたらどうすればいいのでしょうか。

[宮田健，ITmedia]

　マルウェアはメールまたはWebサイトを経由したダウンロードが主な侵入経路です。もちろん「WannaCry」のように、脆弱（ぜいじゃく）性を突いてユーザーのアクションなしに感染するマルウェアもありますが、今回はユーザーが何らかのアクションをして感染するタイプのマルウェアの話をしたいと思います。

アクションを行わせるには、あなたをだます必要がある

　多くの場合、サイバー攻撃者がユーザーの端末を悪用するためには、ユーザー自身でマルウェアを実行する必要があります。このときマルウェアは（当たり前ですが）「私はマルウェアです。暗号化するので添付されたファイルを実行してください」とは言いません。

　マルウェアは、ユーザーの興味を引く安全なWebサイトを装いクリックを誘発します。メールであれば思わず添付ファイルを開きたくなる、もしくは開かざるを得ないような文章でユーザーをだまそうとするでしょう。または記載されたURLを開いた後、IDやパスワードを奪ったり、マルウェアをインストールさせたりするものもあります。

　上記はいわゆる「フィッシング」と呼ばれる行為です。従来のフィッシングは、つたない日本語が使われていたり、一目見て偽物と分かるWebサイトが利用されたりしてきました。しかし昨今、フィッシングは非常に高度化しています。

　Webサイトはファイルの集合体ですのでコピーすれば全く同じものが作れます。メールに関しても、これまでやりとりしていたメール本文をコピーできるため、その“怪しさ”を判断材料にすることはもはや難しいと考えてよいでしょう。フィッシング対策の難しさは、人の力で判断がしにくいレベルにまで進んでしまいました。まず、それを前提として対策を考えなければなりません。

“ドメイン名を見よ”が偽のWebサイト対策として万能ではない理由

　フィッシングの高度化についてですが、2022年6月には公的機関や地方自治体を模した偽のWebサイトが大きな話題になりました。「Bing」などをはじめとした検索エンジンで本物よりも偽のWebサイトが検索結果の上位に表示されるということが注目され、内閣官房内閣サイバーセキュリティセンターが注意を喚起しています。

　同注意喚起が発行されたこと自体は非常に良い方向性だとは思うのですが、この中で記載されている対策については少し疑問を覚えます。