公式サイトだからって絶対安全じゃない理由・Webサイト改ざんの目撃談(#12)
こんにちは、おぐえもん(@oguemon_com)です。
ネットを利用しているみなさんは、訪れているサイトが信頼できるサイトかどうかで、サイトに対する心構え・危機感が変わると思います。
例えば公式サイトなんかは信頼できるので安心してサイトの中を巡りますよね?
公式サイトだから安心できるという前提、これは幻想です!
今回は、私が実際に目撃した公式サイトに張られた「罠」についてお話しします。
公式サイトが信頼できなくなるとき
昨日見たある公式サイト
昨日の朝、ある好きなマンガの公式サイト(具体的な情報は伏せます)を眺めていました。サイト内には広告は 1 つもありません。サイト内の別のページにアクセスしようとリンクを押したとき、次のような画面が出てきました。
「2021 年間ビジターアンケート」と称されたページで、本日のラッキービジターになった旨が書かれています。
公式サイトが出してきた画面なので信じそうになりますが、これはれっきとした詐欺サイト(フィッシングサイト)です!騙されてアンケートの名のもとに個人情報を入力してはいけません。ちなみに私はこの後、サイトの運営者に上記の旨を報告しました。
怪しい海外サイトにアクセスしているときに出るような胡散臭い詐欺サイトがなぜ信頼できる公式サイトを通じて出現したのでしょうか。
Webサイトの改ざんとは
信頼できる人が運営している公式サイトなのに、詐欺サイトに繋がる仕掛けが仕組まれている理由、それがWeb サイトの改ざんです。
本来ならサイトを管理している人しか Web サイトの情報を変更することができないのですが、
- 管理画面への認証情報を盗まれてログインされた
- Webサイトのバグを突かれた
などの理由で、部外者によって勝手に Web サイトの内容を変更(改ざん)されてしまうことがありえます。
Web サイトの改ざんと聞くと、
みたいなものをイメージしますが、こんなアホな事例は少なく、実際のところは詐欺サイトへの誘導の設置など、利用者の実害に繋がる改ざんが行われます。
改ざんの厄介なところ
改ざんが明らかすぎると管理人に気付かれてしまうので、改ざんはさりげなく行われます。
私が今回遭遇した事例では、詐欺サイトへの遷移ははじめの一回しか行われませんでした。
つまり、違和感を覚えてもう一度試してみようとしても、同じことは二度と起きず「気のせいだったのかな…」と思ってしまう仕掛けです。
普段から頻繁にアクセスしている管理人なら余計気づきにくいこの仕掛けによって、改ざんはなかなか修正されず、周囲にずっと悪影響を与え続けます。
Webサイト改ざんは開発者・一般利用者ともに注意すべき!
開発者が注意すべき点
改ざんの理由は色々ありますが、主なものは次の 2 つです(再掲です)。
- 管理画面への認証情報を盗まれてログインされた
- Webサイトのバグを突かれた
このそれぞれに対して防止策を講じましょう。
アカウントを乗っ取られない
パスワードを予測不可能なものにしたり、誰かに知られないようにするなどの基本的なセキュリティを怠らずに実践する必要があります。
Webサイトのバグを作らない
特に、世界中で広く使われているCMSやフレームワークはバグを突かれやすいです。同じ改ざんプロセスを世界中にある複数のサイトに機械的に適用できてコスパが良いからです。実際、私が遭遇したサイトもWordpressで作られていました。
ほとんどの CMS やフレームワークは、重大なバグが出たら修正版がすぐさまリリースされます。したがって、常に最新版にアップデートしてバグを塞いでおくことが重要です。
完全自作のサイトの場合、セキュリティの勉強をして穴のないプログラムを書く必要があります。
情報処理機構のホームページには、脆弱性に関する情報が大量に掲載されていて、めちゃくちゃ有益なのでオススメです!
一般利用者が注意すべき点
変なページに飛ばされた時に、変なページでないかと常に疑うことが重要です。
公式サイトから飛んだから一見すると信頼できそうですが、改ざん被害に遭っているサイトも存在するので、絶対に信頼できるわけではありません。
変なサイトに飛ばされた時、次のポイントを押さえておくとおおよその判断ができます。
上の画像を見ながら読むと分かりやすいです。
サイトのURL
ブラウザに表示されるURLが胡散臭いサイトが怪しいです。ランダムな文字列のサイトは使い捨てされる可能性が高く、「twiter.com」のような本家と微妙に異なるURLは誤認狙いです。聞いたことないURLの場合も用心しましょう。
日本語の正しさ
Web改ざんは世界中で行われています。そのため、機械翻訳されている場合が多く、その場合は文言がところどころ不自然で違和感があります。今回の例だと、「親愛なる〜〜」という宛名書きがいかにも「Dear 〇〇」の機械翻訳で胡散臭いです。
Twitterや他のサイトの書き込み
今回の例だと、TwitterやGoogleで「年間ビジターアンケート」と検索すると詐欺かどうかすぐに分かります。同様の事例がないか調べましょう(その時も信頼できる情報源か注意しよう)。
たとえ信頼できる公式サイト上でも石橋を叩いて渡る心構えができたら**情報リテラシー上級者**です!