サイト内検索

あらゆるワードの関連記事を検索できます!

おぐえもん
情報系大学院の出身です♪Webサイトやチラシ、冊子などのデザインや、システム開発などの経験があります。音楽が好きで、渋谷系サウンドが好物です!

おぐえもんの日記

公式サイトだからって絶対安全じゃない理由・Webサイト改ざんの目撃談(#12)

こんにちは、おぐえもん(@oguemon_com)です。

ネットを利用しているみなさんは、訪れているサイトが信頼できるサイトかどうかで、サイトに対する心構え・危機感が変わると思います。
例えば公式サイトなんかは信頼できるので安心してサイトの中を巡りますよね?

公式サイトだから安心できるという前提、これは幻想です!

今回は、私が実際に目撃した公式サイトに張られた「罠」についてお話しします。

目次(クリックで該当箇所へ移動)

公式サイトが信頼できなくなるとき

昨日見たある公式サイト

昨日の朝、ある好きなマンガの公式サイト(具体的な情報は伏せます)を眺めていました。サイト内には広告は1つもありません。サイト内の別のページにアクセスしようとリンクを押したとき、次のような画面が出てきました。

2021年間ビジターアンケート」と称されたページで、本日のラッキービジターになった旨が書かれています。

公式サイトが出してきた画面なので信じそうになりますが、これはれっきとした詐欺サイト(フィッシングサイト)です!騙されてアンケートの名のもとに個人情報を入力してはいけません。ちなみに私はこの後、サイトの運営者に上記の旨を報告しました。

怪しい海外サイトにアクセスしているときに出るような胡散臭い詐欺サイトがなぜ信頼できる公式サイトを通じて出現したのでしょうか。

Webサイトの改ざんとは

信頼できる人が運営している公式サイトなのに、詐欺サイトに繋がる仕掛けが仕組まれている理由、それがWebサイトの改ざんです。

本来ならサイトを管理している人しかWebサイトの情報を変更することができないのですが、

  1. 管理画面への認証情報を盗まれてログインされた
  2. Webサイトのバグを突かれた

などの理由で、部外者によって勝手にWebサイトの内容を変更(改ざん)されてしまうことがありえます。

Webサイトの改ざんと聞くと、

みたいなものをイメージしますが、こんなアホな事例は少なく、実際のところは詐欺サイトへの誘導の設置など、利用者の実害に繋がる改ざんが行われます。

改ざんの厄介なところ

改ざんが明らかすぎると管理人に気付かれてしまうので、改ざんはさりげなく行われます。
私が今回遭遇した事例では、詐欺サイトへの遷移ははじめの一回しか行われませんでした
つまり、違和感を覚えてもう一度試してみようとしても、同じことは二度と起きず「気のせいだったのかな…」と思ってしまう仕掛けです。

普段から頻繁にアクセスしている管理人なら余計気づきにくいこの仕掛けによって、改ざんはなかなか修正されず、周囲にずっと悪影響を与え続けます。

Webサイト改ざんは開発者・一般利用者ともに注意すべき!

開発者が注意すべき点

改ざんの理由は色々ありますが、主なものは次の2つです(再掲です)。

  1. 管理画面への認証情報を盗まれてログインされた
  2. Webサイトのバグを突かれた

このそれぞれに対して防止策を講じましょう。

アカウントを乗っ取られない
パスワードを予測不可能なものにしたり、誰かに知られないようにするなどの基本的なセキュリティを怠らずに実践する必要があります。
Webサイトのバグを作らない
特に、世界中で広く使われているCMSやフレームワークはバグを突かれやすいです。同じ改ざんプロセスを世界中にある複数のサイトに機械的に適用できてコスパが良いからです。実際、私が遭遇したサイトもWordpressで作られていました。
ほとんどのCMSやフレームワークは、重大なバグが出たら修正版がすぐさまリリースされます。したがって、常に最新版にアップデートしてバグを塞いでおくことが重要です。
完全自作のサイトの場合、セキュリティの勉強をして穴のないプログラムを書く必要があります。
情報処理機構のホームページには、脆弱性に関する情報が大量に掲載されていて、めちゃくちゃ有益なのでオススメです!

一般利用者が注意すべき点

変なページに飛ばされた時に、変なページでないかと常に疑うことが重要です。

公式サイトから飛んだから一見すると信頼できそうですが、改ざん被害に遭っているサイトも存在するので、絶対に信頼できるわけではありません。

変なサイトに飛ばされた時、次のポイントを押さえておくとおおよその判断ができます。

上の画像を見ながら読むと分かりやすいです。

サイトのURL
ブラウザに表示されるURLが胡散臭いサイトが怪しいです。ランダムな文字列のサイトは使い捨てされる可能性が高く、「twiter.com」のような本家と微妙に異なるURLは誤認狙いです。聞いたことないURLの場合も用心しましょう。
日本語の正しさ
Web改ざんは世界中で行われています。そのため、機械翻訳されている場合が多く、その場合は文言がところどころ不自然で違和感があります。今回の例だと、「親愛なる〜〜」という宛名書きがいかにも「Dear 〇〇」の機械翻訳で胡散臭いです。
Twitterや他のサイトの書き込み
今回の例だと、TwitterやGoogleで「年間ビジターアンケート」と検索すると詐欺かどうかすぐに分かります。同様の事例がないか調べましょう(その時も信頼できる情報源か注意しよう)。
たとえ信頼できる公式サイト上でも石橋を叩いて渡る心構えができたら情報リテラシー上級者です!
このカテゴリの記事
デザイナーでないアナタも必見!人生に使える”UX”の法則3選(UXデザインの法則)(#35)
2021年9月3日
【コロナワクチン】予約サイト待合室を回避して確実に予約する方法(#34)
2021年8月27日
【実体験付】タイピングを上達する方法(ブラインドタッチ習得術)(#33)
2021年8月20日
大人が見習うべき4つの”小学生マインド”(#32)
2021年8月13日
このカテゴリの全ての記事(48件)を見る
▲ トップへ戻る