この記事は 2015 年 11 月 13 日に Google Online Security Blog に投稿された記事「Safe Browsing protection from even more deceptive attacks」の翻訳です。
セーフ ブラウジングは、8年以上のあいだ、従来のフィッシング攻撃から 10 億人以上のユーザーを保護してきました。そのあいだにも、ウェブ上で暗躍するハッカーたちは、ユーザーをだまして本来意図していない行動をとらせるために、さまざまな種類の不正行為を仕掛けています。つまり、フィッシング攻撃の様相は常に変化してきているのです。そこで Google では、ソーシャル エンジニアリングも対象にするよう保護の範囲を拡大しました。
ソーシャル エンジニアリングは従来のフィッシングと比べてより広範囲なカテゴリであり、さまざまな不正なウェブ コンテンツを含んでいます。ソーシャル エンジニアリング攻撃とは、次のようなコンテンツを指します。
- 信頼できる組織(銀行、行政機関など)を装っている、またはそのような印象を与えるコンテンツ。
- ユーザーが信頼できる組織に対してのみ行うような行為(パスワードを共有する、テクニカル サポートに電話するなど)に誘導しようとするコンテンツ。
Google や Chrome から配信されたコンテンツであるかのように装うソーシャル エンジニアリング攻撃の例を、以下にいくつかご紹介します。他の信頼できるブランドも同様に、ソーシャル エンジニアリング攻撃による不正行為に使用されていますのでご注意ください。
これは、マルウェアや不要なソフトウェアをダウンロードして実行させようとするページです。Google が運営するサイトだと思わせるために Chrome のロゴと名前を使っています。こうしたコンテンツには、Google とは無関係であることを示す免責条項が目立たない場所に書かれている場合がありますが、このコンテンツが不正なものであることに変わりはありません。ウェブからファイルをダウンロードするときはいつでも注意を払うようにしてください。
これはテクニカル サポートの電話番号をかたったページです。偽の警告メッセージを表示して、Google またはその他の信頼できる組織になりすました無関係の企業に電話をかけさせようとしています(Chrome では有料のリモート サポートは提供していません)。
これは偽の Google ログインページです。ユーザーをだましてアカウントのログイン用認証情報を入手しようとしています。この種のフィッシングを行うサイトでは、クレジット カード情報などその他の個人情報の入力を要求されることもあります。フィッシング サイトはまるで本物のサイトのように見えるように作られているため、アクセスしている URL が本物に間違いないことをアドレスバーで確認するとともに、そのウェブサイトが「https://」で始まるかどうかもチェックするようにしましょう。詳しくはこちらをご覧ください。
ソーシャル エンジニアリングのコンテンツが含まれるウェブページであることが特定されると、Chrome では次のようなページを表示してユーザーに警告します。
(セーフ ブラウジングで誤って不正なサイトとして分類されているウェブページがある場合は、こちらからご報告ください)
Google では、より多くのユーザーがオンライン コンテンツを安心して利用できるようにするため、セーフ ブラウジングによる保護を引き続き強化していきます。詳しくは、透明性レポートのセーフ ブラウジングに関するページをご覧ください。