この記事は 2016 年 2 月 3 日に Google Online Security Blog に投稿された記事「No More Deceptive Download Buttons」の翻訳です。
昨年の 12 月のブログ投稿*で、セーフ ブラウジングの保護機能がソーシャル エンジニアリング攻撃に対応したことをお知らせしました。ソーシャル エンジニアリングとは、ユーザーを欺いて危険な操作を行わせる攻撃のことで、たとえば望ましくないソフトウェアをインストールしたり、個人情報(パスワード、電話番号、クレジット カード番号など)を盗み取ったりします。ソーシャル エンジニアリングの例としてよく見かけるのは、不正なダウンロード ボタンや、「システムの更新が必要です」といった嘘のメッセージを表示する画像広告です。今回、セーフ ブラウジングの保護機能を拡張したことで、ソーシャル エンジニアリング広告のような不正な埋め込みコンテンツを検出できるようになりました。
12 月に発表したソーシャル エンジニアリング ポリシーに基づき、ウェブページに埋め込まれているコンテンツ(広告など)は、以下に該当する場合にソーシャル エンジニアリングと見なされます。
Google にとって、望ましくないソフトウェアやソーシャル エンジニアリングとの戦いはまだ始まったばかりです。今後もセーフ ブラウジングの保護機能を改良し、ユーザーの皆さんに安心してご利用いただけるようにしたいと考えています。
ウェブサイトへの影響は?
ウェブサイトにソーシャル エンジニアリング コンテンツが頻繁に表示される場合は、ユーザーがサイトにアクセスしたときに Google セーフ ブラウジングからの警告が表示されることがあります。運営しているサイトが、ソーシャル エンジニアリング コンテンツを含んでいると報告された場合は、Search Console からトラブルシューティングを実施してください。詳しくは、ウェブマスター向けのソーシャル エンジニアリングに関するヘルプ記事をご覧ください。
昨年の 12 月のブログ投稿*で、セーフ ブラウジングの保護機能がソーシャル エンジニアリング攻撃に対応したことをお知らせしました。ソーシャル エンジニアリングとは、ユーザーを欺いて危険な操作を行わせる攻撃のことで、たとえば望ましくないソフトウェアをインストールしたり、個人情報(パスワード、電話番号、クレジット カード番号など)を盗み取ったりします。ソーシャル エンジニアリングの例としてよく見かけるのは、不正なダウンロード ボタンや、「システムの更新が必要です」といった嘘のメッセージを表示する画像広告です。今回、セーフ ブラウジングの保護機能を拡張したことで、ソーシャル エンジニアリング広告のような不正な埋め込みコンテンツを検出できるようになりました。
12 月に発表したソーシャル エンジニアリング ポリシーに基づき、ウェブページに埋め込まれているコンテンツ(広告など)は、以下に該当する場合にソーシャル エンジニアリングと見なされます。
- 信頼できるもの(ユーザーの端末やブラウザ、ウェブサイト自体など)を装っている、またはそのような印象を与えようとしている。
- ユーザーを欺いて、信頼できるものに対してのみ行う操作(パスワードの共有、テクニカル サポートへの電話など)を行わせようとする。
この画像は、「ソフトウェアを更新する必要がある」とユーザーを欺いて [Update] ボタンをクリックさせようとしています。
この画像は、FLV ソフトウェアのダイアログを模倣したもので、実際にこの FLV ソフトウェアから表示されたものではありません。
このボタンはサイトの雰囲気を模倣して作られており、あたかもそのサイトのコンテンツ(テレビ番組、スポーツの動画ストリーミングなど)を操作できるような印象を与えます。ページに馴染んでいて見分けがつかないこともあります。
Google にとって、望ましくないソフトウェアやソーシャル エンジニアリングとの戦いはまだ始まったばかりです。今後もセーフ ブラウジングの保護機能を改良し、ユーザーの皆さんに安心してご利用いただけるようにしたいと考えています。
ウェブサイトへの影響は?
ウェブサイトにソーシャル エンジニアリング コンテンツが頻繁に表示される場合は、ユーザーがサイトにアクセスしたときに Google セーフ ブラウジングからの警告が表示されることがあります。運営しているサイトが、ソーシャル エンジニアリング コンテンツを含んでいると報告された場合は、Search Console からトラブルシューティングを実施してください。詳しくは、ウェブマスター向けのソーシャル エンジニアリングに関するヘルプ記事をご覧ください。