キヤノンMJ/サイバーセキュリティ情報局
怪しいウェブサイトをどうやって見分ければいいのか
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「Webサイトの安全性を確認する方法」を再編集したものです。
本物と偽物のウェブサイトを見分けるのは難しい。そこで悪意のあるウェブサイトを特定し、自らの身を守るのに有効な方法を紹介する。
一日のうちに数十から数百のウェブサイトを閲覧する人もいるだろう。毎日のようにニュース記事やソーシャルメディア、動画配信サイトの番組、そして友人から送られたリンクをクリックしている。しかし、開いたウェブサイトのすべてが安全で、フィッシングサイトではないと確信できているだろうか?
本記事では、個人情報漏えいのリスクを避け、デバイスがマルウェアに感染しないよう、ウェブサイトの安全性を確認する簡単な方法について解説する。
URL内のスペルミスや、紛らわしい文字列に注意
同音異義語を使った攻撃(ホモグラフ攻撃とも呼ばれる)や、URLにスペルミスや紛らわしい文字を混ぜて悪意のあるウェブサイトへ誘導させる攻撃は、一般的によく知られた手法のひとつである。辞書と格闘するような名前に聞こえるかもしれないが、簡単に言うとホモグリフ攻撃は、視覚的に紛らわしい文字列や識別しにくい文字を加えたドメイン名でユーザーを欺く手法だ。
例えば、「Microsoft」という社名に似せた、「rnicrosoft.com」というドメイン名を取得する。よく見ると頭文字の「m」が「r」と「n」の組み合わせになっており、「m」と誤認される可能性を悪用しようとしている。フォントや文字サイズ、読者の注意力によっては識別が難しい。あるいは、「facebook」にある2つの「o」のうち、ひとつあるいは両方がギリシャ語の「ο(オミクロン)」に置き換えられて「faceboοk.com」というドメイン名になっている場合に、その違いに気づくのは非常に困難だ。
一個目のドメイン名は「o」の代わりにギリシャ語のオミクロンを使っている。
「.com」ドメインの文字列が置換されるケースは少ないが、上記の問題を理解する助けとなる。
参考:なりすましURL: ホモグラフ攻撃について
同様の手法として、タイポスクワッティングというものがある。「gogle.com」や「gooogle.com」のように、有名なウェブサイトにわざと入力ミスを加えたドメイン名を使う。この例の場合、現在はグーグル社の所有となり、「正しい」Googleのウェブサイトに誘導されるようになっているが、同様の例はいくらでも考えられる。下図では、「facebook」というドメイン名にある最後の「k」に対して考えられる入力ミスについて、フェイスブック社が保護しているキーボードの範囲を図示している。
タイポスクワッティングを防ぐため、「facebook」の「k」を水色の文字で置換したドメイン名は、正式なfacebook.comドメインに遷移するよう、フェイスブック社はドメインを登録している。黄色で示した文字は他社のウェブサーバーで運用されており、白色の文字は執筆時点では利用されていない。[Copyright WeLiveSecurity, 2021. Adapted from Brilliantwiki2’s original. Creative Commons License This work is licensed under a Creative Commons Attribution-ShareAlike 4.0 International License.]
もちろん、なりすましたウェブサイトは訪問者が見分けられないように作られている。そのため、URLをコピーしたり、リンクを直接クリックしたりする際は、正しいウェブサイトであることを確認するよう、十分注意するべきだ。セキュリティ製品の中には、ホモグリフ攻撃を検出するものもあり、疑わしいウェブサイトを開いた際にはアラートが通知される機能が提供されている。
悪意のあるウェブサイトかどうか検証する
訪問したウェブサイトが疑わしいと感じたり、あるいは、リンクを開く前に怪しいと感じた場合は、悪意のあるウェブサイトかどうかを確認するオンラインツールを利用できる。
まず、グーグル社はセーフブラウジング・サイトステータス・ツールを提供しており、ウェブサイトのURLを入力すると、それが安全なサイトかどうか回答してくれる。同様のツールとして、VirusTotalのURLチェッカーが利用可能だ。入力されたウェブサイトに対し、複数の有力なウイルス対策エンジンやウェブサイトスキャン・エンジンで検証を行ない、特定のURLに悪意のあるものが含まれていないかを知らせてくれる。問題がないと判定された場合に、さらに詳細な分析を行なっても構わない。SANS社のインストラクターLenny Zelser氏によってまとめられたツール群も参照してみてほしい。
他には、Whois検索を実施して、訪問するウェブサイトのドメインが誰に所有されているかを調べる方法もある。Whois情報とは、検索対象のドメイン所有者は誰か、いつ、どこで登録されたか、所有者に連絡する方法は、といった情報が含まれる。Whois検索を行なうには、専用のウェブサイトを用いて参照したいウェブサイトのアドレスを入力する。
ここで確認するべきことは、ドメインが最近登録されたかどうかだ。悪意のある使われ方をしているかどうかの指標になり得る。例えば、Facebookが2021年2月に初めて登録されたドメインであるはずがない。また、「詳細情報」をクリックした際に、情報が十分に入力されていなかったり、入力ミスが多かったりした場合も悪意のあるドメインであるリスクが高い。ただし、登録データを入力した人の不注意だという可能性も考えられる。
プライバシーポリシーを確認する
ウェブサイトについて検証し、本物かどうか判断に迷う場合に確認するべきことは、プライバシーポリシーだろう。ウェブサイトがいかにユーザーのデータを取り扱い、保護しているのかを説明するよう、個人情報保護法によって定められている。本物のウェブサイトであればプライバシーポリシーを掲載しているはずだ。
個人情報保護法、特に欧州GDPR(一般データ保護規則)に違反した企業は、プライバシーとセキュリティの不備に対して厳しい罰則が科される場合がある。プライバシーポリシーを掲載していないか、それが確認できないウェブサイトは、世界中で施行されている厳しいデータ保護の法律に従っておらず、何らかの違反をしている可能性が高い。
連絡先を確認する
顧客と有効な関係を保ちたいと考える企業は、何らかの問題が発生した場合に備えて、ウェブサイトのどこかに連絡先を掲載している。通常は、入力フォーム、Eメール、住所、電話番号などが確認可能だ。重要な取引を行なう際に、信頼できる企業かを検証するため、確認するべき事項だろう。
例えば、掲載された電話番号にかけた際に、応答した人によってすぐに電話が切られてしまったのなら、おそらく、その相手は詐欺師だろう。電話番号に問題がなかったとしても、その企業の正式な連絡先について検索して再確認してから電話をかけるのは良い方法だ。
HTTPSの「S」を確認するのはもはや万全とはいえない
ウェブサイトが安全であるか確認するのに、HTTPSプロトコルを使っているかどうかチェックする場合がある。HTTPSはウェブサイトを保護するのに最も重要だと言われるケースがあるが、実際にはそれは言い過ぎだろう。HTTPSは、ウェブサイトと訪問者のウェブブラウザー間で行なわれる通信が十分に暗号化されていることを保証しているに過ぎない。オンラインバンキングのようなログインを必要とするウェブサイトを安全に利用する際に盗聴を防ぐことは可能だ。
図3:ウェブサイトへの安全な接続
しかし、安全に接続しようとしているウェブサイトが本当に銀行のものなのか、あるいは、ログイン情報を詐取するために作られた偽のウェブサイトなのかという、重要な問題には対策が講じられていない。
近年では本物の企業と同様に、サイバー攻撃者が偽のウェブサイトにSSL/TLS証明書を取得するのも容易になっている。SSL/TLS証明書の取得は安価、あるいは無料でできるため、ユーザーを騙すために偽のウェブサイトで取得する事例が増えているのだ。
結局、現在オンライン上にある大多数のウェブサイトはSSLかTLSの通信を使用しているのため、閲覧しているウェブサイトが安全かどうかの指標にはなり得ない。総合的な判断を下すためのひとつの材料として考え、他にも怪しい兆候がないかを確認するべきだ。本記事で指摘した事項をもとに確認し、ウェブサイト全体としての安全性を検証することが望ましい。
証明書については、それがどの組織が発行しているのか確認することを推奨する。取り扱うデータの機密性が高いにも関わらず、証明書が無料や安価で取得できるものであるならば、詐欺サイトの可能性が高いため、そのウェブサイトを十分に検証する必要がある。ウェブブラウザーのアドレスバーにある南京錠の形をしたアイコンをクリックすると、証明書の有効性や、信頼できる組織から発行されたかどうかを確認できる。
信頼できるセキュリティソリューションを使用する
信頼できる総合セキュリティソリューションは、悪意のあるウェブサイトを含めたオンライン上の脅威から身を守るために大いに役立つ。ウェブページの中から悪意のあるコンテンツを検索するスキャン・エンジンを備えるものが多く、何らかの脅威を検出した際はウェブサイトへのアクセスをブロックし、悪意のあるコンテンツがデバイスにダウンロードされるのを防いでくれる。
セキュリティツールは既知の詐欺サイトリストを保有しており、それと合致した際にアクセスをブロックするものもある。また、高度なセキュリティソリューションは、フィッシング対策の機能を搭載している。本物になりすました偽のウェブサイトで、パスワードや銀行データ、あるいは他の機密情報が詐取されるのを防いでくれる。あるURLを開いた際に、フィッシングサイトのデータベースを参照し、合致した場合は即座にアクセスを遮断して危険があることをユーザーに通知する。
おわりに
ここまで読んだ読者は、安全にウェブサイトを利用するのは難しいと感じているかもしれない。実際、他にも注意するべき点はある。例えば、画面上に怪しい広告がやたらと表示されていたり、誤字脱字や文法の乱れがあったりする場合は、偽のウェブサイトに遭遇している可能性がある。
いずれにしても、結論としてはウェブサイトのURLにおけるスペルミスに注意し、セキュリティ証明書を精査し、できればアドレスを手入力するか、信頼できるリンクのみを使うようにしよう。
[引用・出典元] How to tell if a website is safe by Amer Owaida 23 Jun 2021 - 11:30 AM
https://www.welivesecurity.com/2021/06/23/how-tell-if-website-is-safe/