偽サイトが大量発生 首相官邸や新聞社も標的に 見破り方と、マネされない方法とは?(2/3 ページ)
どうすれば見破れる?
世に偽サイトのタネは尽きまじ……という状況で、油断はまったくできません。ですが「偽サイトに気をつけましょう」といわれても、漠然と注意を払うだけで何とかなる話でもありません。 具体的にどうすれば偽サイトを見破れるのでしょうか。
内閣サイバーセキュリティセンター(NISC)は大量の偽サイトを見破る方法として、URLのうちトップレベルドメイン(TLD)に注目。「.JP」ではなく、「.gq」「.cf」「.tk「.ga」「.ml」といった、海外で無料で取得できるccTLD(国コードトップレベルドメイン)が利用されていないかチェックするよう呼びかけています。
また、企業システムの場合、プロキシサーバやURLフィルタリング製品を用いて、一律にこうしたccTLDへのアクセスをブロックするのも1つの手です。この方法を積極的に提案するセキュリティベンダーも出てきており、マクニカネットワークスは、自社製品などを使った設定の手順を公式サイトで詳しく紹介しています。
ただ、ccTLDも見分け方の1つですが「JPドメインならば詐欺サイトではない」とは限りません。打ち間違いを狙った紛らわしいURLを使ったり、無関係なgTLD(一般トップレベルドメイン)に正規サイトに似せたサブドメインをつけてユーザーを誤解させたり、長いURLを設定して一目見ただけでは区別がつかないようにしたりと、ユーザーの勘違いを誘う紛らわしいURLのバリエーションはさまざまです。単純に「このドメインは詐欺」「こっちは安全」などと、1つの基準だけでは偽サイトを見抜けないのが難しいところです。
ちなみに「偽サイトに注意しましょう」という注意喚起に見せかけた不審なリンクも流通しているようですので、ご注意ください。
面倒ですが、偽サイトのURLにはいろんなパターンがあるということを頭の片隅に入れて、メールやSMSなどで送られてきたリンクを直接クリックしてアクセスするのではなく、あらかじめ登録しておいたブックマークからアクセスするよう心掛けること、別のメディアや手段で公式サイトのURLを確認することなどが、身を守る第一歩でしょう。また、HTTPSで暗号化されているサイトならば、錠前マークをクリックすると表示される電子証明書の発行組織名を確認するのが確実です。
マネされない方法とは?
ここまでお伝えしてきた対策は幅広い業種・部門に向けたものですが、この記事の読者がWebサイト運営者の立場にある場合は、偽サイトがもたらす悪影響とその対策について、より踏み込んで考える必要があるでしょう。
歯がゆい話ですが、偽のブランド品と同じように、Webサイトのコピーを完全に防ぐことは現実的には不可能です。ブランドイメージの毀損(きそん)やユーザー保護の観点からはもちろん、本当にフィッシング詐欺やマルウェア配布に悪用されているならばなおさら、偽サイトに対する苦情申し立てなどの取り組みが必要な時代になってきました。
例えば、検索サイトで自社に類似したサイト、偽サイトが登場していないかを確認し、もし見つけた場合は、ドメイン登録業者やホスティング事業者を介して苦情を申し立て、テイクダウンを依頼する——という地道な作業が求められるでしょう。労力のかかる割に実りの少ない作業ではあるため、もっといいアイデアがあればいいのですが、今のところは特効薬はないようです。
また、URLやドメイン名は、意図したアクセス先にたどり着くための「住所」です。けれど、その住所の付け方や使い方が本来のルールとかけはなれたものになっていることも、混乱を招く一因となっていないでしょうか。
マーケティングの観点では、簡単で分かりやすく、ユーザーがそれと意識せずにアクセスできるようにすることが優先されます。けれど、セキュリティの観点、ユーザー保護の観点では「今、自分はどのサイトにアクセスしているのか、意図しないサイトにアクセスしていないか」を、アドレスバーを通して常に把握できる状態を保つべきです。そういった観点から、特にモバイルサイトの場合はユーザーインタフェースを考えるべきではないでしょうか。
ドメイン名の取得についても、ルールから逸脱した申請が、いたずらにユーザーの混乱を招くのではないかという懸念が以前からありました。特に.JPドメインの場合、利用する組織の性質に応じて「co.jp」「go.jp」「lg.jp」といった属性型ドメイン名が用意されています。にもかかわらず、キャンペーン名やサービス名をそのままつけることを優先してか、煩雑な手続きを嫌ってかは分かりませんが、わざわざ.comなどのまねされやすいgTLDを取ってしまっているケースが目につきます。
関連記事
GitLab、セキュリティ演習で社員にフィッシングメール送信 10人が引っ掛かる
ソースコード管理ツールを提供する米GitLabが、社内のセキュリティ対策演習として社員にフィッシングメールを送信。内容は「あなたのノートPCをMacBook Proにアップグレードすることになりました」。10人が引っ掛かり、ログインページでIDとパスワードを入力した。
新型コロナ収束後はマルウェアが感染拡大? テレワークからオフィス勤務に戻る時が危ない理由
新型コロナウイルスの感染が広がり、企業でテレワークが普及しています。ですが、これから緊急事態宣言が解除され、テレワークから従来の働き方に戻ることになった場合も、セキュリティ面では油断禁物です。その理由とは……?
ますます卑劣化するランサムウェア 窮状に付け込み二重の脅迫
重要なデータを人質に取るランサムウェア。盗んだ機密情報をオークションにかけてさらに脅しをかける手口が浮上している。
偽物ではなかった? “怪しいZoom”の意外な正体
ネットなどで注目を集める“怪しいZoom”。その正体は何なのか。IPAの調査結果を基に、筆者がたどり着いた同名ソフトとは……。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。