Google セーフ ブラウジングのサイト ステータス ツールが更新されました

Google セーフ ブラウジング(英語)で提供するツールは、マルウェア、望ましくないソフトウェア、ソーシャル エンジニアリングなどのインターネット上の脅威からユーザー自身を保護する目的でご利用になれます。Google の警告はよく知られているとおり、ユーザーが危険なサイトに移動しようとしたときや、危険なファイルをダウンロードしようとしたときに表示されます。Google は他にも、サイト ステータス ツールのように、ユーザーがウェブページの安全性の現状を、そのページにアクセスしなくても確認できるツールを提供しています。

このツールは Google のセーフ ブラウジングに関する透明性レポート内でご利用になれます。Google の透明性レポートの他のセクションと同様に、このサイト ステータスのデータを提供することで、オンライン エコシステムのセキュリティと健全性に関して、一般ユーザーがよく見通せるようになります。サイト ステータス ツールを使用するには、ツールにウェブページを(URL、ウェブサイト、またはドメインとして)入力します。そのウェブページに関するセーフ ブラウジングの最新の解析結果に加えて、トラブルシューティングのヘルプと関連資料への参照情報が表示されます。

Google はこのたび、サイト ステータス ツールの新バージョンをリリースしました。新しいバージョンでは、結果の表示が簡潔で明確になり、設計が調整されています。この変更により、セーフ ブラウジングの警告を受け取ってからツールにアクセスするユーザーや、Google でのマルウェアやフィッシングの検出についてオンラインで調べようとするユーザーにとってより使いやすいツールになりました。ツールのユーザー インターフェースも整理され、説明はわかりやすく、結果はさらに正確になりました。また、連携している自律システムの詳細な技術的データの一部を、透明性レポートの不正なソフトウェア ダッシュボードに移動しました。

インターフェースこそ整理されましたが、診断情報の詳細が表示されなくなったわけではありません。詳細について調べようとするユーザーは、セーフ ブラウジングの透明性レポートの他のセクションで深く掘り下げることができます。一方、サイト所有者は Search Console で詳細な診断情報について確認することができます。透明性レポートの目標の 1 つは、ポリシーとセキュリティの複合的な問題を明らかにすることであり、今回の設計の調整によって実際に、ユーザーにとって明瞭さが増す結果となることを願っております。

不正なダウンロード ボタンを撲滅するために

この記事は 2016 年 2 月 3 日に Google Online Security Blog に投稿された記事「No More Deceptive Download Buttons」の翻訳です。

昨年の 12 月のブログ投稿*で、セーフ ブラウジングの保護機能がソーシャル エンジニアリング攻撃に対応したことをお知らせしました。ソーシャル エンジニアリングとは、ユーザーを欺いて危険な操作を行わせる攻撃のことで、たとえば望ましくないソフトウェアをインストールしたり、個人情報(パスワード、電話番号、クレジット カード番号など)を盗み取ったりします。ソーシャル エンジニアリングの例としてよく見かけるのは、不正なダウンロード ボタンや、「システムの更新が必要です」といった嘘のメッセージを表示する画像広告です。今回、セーフ ブラウジングの保護機能を拡張したことで、ソーシャル エンジニアリング広告のような不正な埋め込みコンテンツを検出できるようになりました。


12 月に発表したソーシャル エンジニアリング ポリシーに基づき、ウェブページに埋め込まれているコンテンツ(広告など)は、以下に該当する場合にソーシャル エンジニアリングと見なされます。
  • 信頼できるもの(ユーザーの端末やブラウザ、ウェブサイト自体など)を装っている、またはそのような印象を与えようとしている。
  • ユーザーを欺いて、信頼できるものに対してのみ行う操作(パスワードの共有、テクニカル サポートへの電話など)を行わせようとする。
ここで、広告として表示される不正なコンテンツの例をいくつかご紹介しましょう。

この画像は、「ソフトウェアを更新する必要がある」とユーザーを欺いて [Update] ボタンをクリックさせようとしています。

この画像は、FLV ソフトウェアのダイアログを模倣したもので、実際にこの FLV ソフトウェアから表示されたものではありません。

このボタンはサイトの雰囲気を模倣して作られており、あたかもそのサイトのコンテンツ(テレビ番組、スポーツの動画ストリーミングなど)を操作できるような印象を与えます。ページに馴染んでいて見分けがつかないこともあります。


Google にとって、望ましくないソフトウェアやソーシャル エンジニアリングとの戦いはまだ始まったばかりです。今後もセーフ ブラウジングの保護機能を改良し、ユーザーの皆さんに安心してご利用いただけるようにしたいと考えています。

ウェブサイトへの影響は?

ウェブサイトにソーシャル エンジニアリング コンテンツが頻繁に表示される場合は、ユーザーがサイトにアクセスしたときに Google セーフ ブラウジングからの警告が表示されることがあります。運営しているサイトが、ソーシャル エンジニアリング コンテンツを含んでいると報告された場合は、Search Console からトラブルシューティングを実施してください。詳しくは、ウェブマスター向けのソーシャル エンジニアリングに関するヘルプ記事をご覧ください。

数億のモバイル ユーザーを保護するための取り組み

この記事は 2015 年 12 月 7 日に Google Online Security Blog に投稿された記事「Protecting hundreds of millions more mobile users」の翻訳です。

Google セーフ ブラウジングは長年にわたって 10 億人以上のパソコン ユーザーをウェブ上のマルウェアや望ましくないソフトウェア、ソーシャル エンジニアリング サイトから保護してきました。本日は、こうした保護が Android で Chrome ブラウザを利用する数億人のユーザーにも拡大されたことをお知らせいたします。

利用方法

Android 端末をお使いなら、おそらく、既にこの機能をご利用いただいています。Android 版の新たなセーフ ブラウジング クライアントは、Google Play 開発者サービスの一部として、バージョン 8.1 以降から組み込まれています。この機能を利用する最初のアプリは Chrome で、バージョン 46 以降の Android 版 Chrome のすべてのユーザーがデフォルトで保護されるようになりました。Chrome の [設定] > [プライバシー] メニューを開くと、[セーフ ブラウジング] がオンになっており、保護されていることを確認できます。危険なサイトの警告は以下のように表示されます。こうした保護はパソコンの場合と同様に、ユーザーのプライバシーを保護しながら行われます。

モバイル ユーザーに対するこれまでの保護

Android プラットフォームと Play ストアではこれまで長い間、有害な可能性のあるアプリからユーザーを保護してきました。攻撃者が対策を回避する技術を高めるにつれて、Google も検出能力をさらに向上させて Android アプリのユーザーの安全を保ってきました。しかし、モバイル ユーザーに対する危険のすべてがアプリに由来するわけではありません。

これからの保護

ソーシャル エンジニアリング(特にフィッシング)に対しては別のかたちの保護が必要です。不正なサイトの最新リストを端末上に保持して、ユーザーがそうしたサイトを閲覧する前に、確実に警告を出せるよう備える必要があります。しかしながら、こうした保護をモバイル端末上で提供することは、パソコンの場合よりもはるかに難しくなります。その理由として少なからぬ部分を占めるのが、リストを最新に保たなければならないという点です。

  • 世界中のほとんどのユーザーにとって、モバイルデータの費用はユーザー側の負担になります。データのサイズが問題となります。
  • 世界のほとんどの地域では、モバイルデータの回線速度は Wi-Fi よりも低速です。データのサイズが問題となります。
  • 携帯電話の繋がりやすさはさらに差が大きいため、適切なデータを端末に素早く配信することが不可欠です。データのサイズが問題となります。

最小のデータで最大の保護を提供

Google では、セーフ ブラウジングでモバイル端末に送信されるデータは1ビットも無駄にすることなくすべて保護の向上に役立たねばならない、という哲学を持っています。モバイル端末においてネットワーク帯域幅と電池は最も貴重なリソースであるため、どのようにしてモバイル ユーザーを保護することが最良なのかを入念に再検討する必要がありました。一部のソーシャル エンジニアリング攻撃は世界の一部の地域でのみ起きているため、そうした地域内に端末がある場合のみ、端末を保護する情報を送信します。

また、最も危険性の高いサイトに関する情報をまず最初に送信します。新興諸国の速度の遅いネットワークでよくあるように、ほんのわずかな更新データしか送信できない場合、更新内容は本当に価値のあるものでなければなりません。そこで、私たちは Google の圧縮技術チームとも連携し、送信する更新データの量をできるだけ小さく抑えました。

さらに、Android セキュリティ チームと協力して、端末上のソフトウェアによるメモリとプロセッサの使用を可能な限り抑えるとともに、ネットワーク トラフィックの最小化にも留意しました。こうした点すべてが重要なテーマです。ユーザーのデータ通信料や電池消費量をわずかでも浪費してはならないからです。

より多くのモバイルユーザーを保護

ユーザーに苦い経験をさせないよう、Google ではインターネット上の脅威への対策を続けています。同時に、こうした保護がユーザーのネットワーク費用や端末の電池に不当な負担を強いるものであってはなりません。世界中でモバイルウェブへの依存が高まり続けるなか、Google では可能な限り効率的な方法で、ユーザーをできるだけ安全にしたいと考えています。

セーフ ブラウジングの保護対象が増えました

この記事は 2015 年 11 月 13 日に Google Online Security Blog に投稿された記事「Safe Browsing protection from even more deceptive attacks」の翻訳です。

セーフ ブラウジングは、8年以上のあいだ、従来のフィッシング攻撃から 10 億人以上のユーザーを保護してきました。そのあいだにも、ウェブ上で暗躍するハッカーたちは、ユーザーをだまして本来意図していない行動をとらせるために、さまざまな種類の不正行為を仕掛けています。つまり、フィッシング攻撃の様相は常に変化してきているのです。そこで Google では、ソーシャル エンジニアリングも対象にするよう保護の範囲を拡大しました。

ソーシャル エンジニアリングは従来のフィッシングと比べてより広範囲なカテゴリであり、さまざまな不正なウェブ コンテンツを含んでいます。ソーシャル エンジニアリング攻撃とは、次のようなコンテンツを指します。

  • 信頼できる組織(銀行、行政機関など)を装っている、またはそのような印象を与えるコンテンツ。
  • ユーザーが信頼できる組織に対してのみ行うような行為(パスワードを共有する、テクニカル サポートに電話するなど)に誘導しようとするコンテンツ。

Google や Chrome から配信されたコンテンツであるかのように装うソーシャル エンジニアリング攻撃の例を、以下にいくつかご紹介します。他の信頼できるブランドも同様に、ソーシャル エンジニアリング攻撃による不正行為に使用されていますのでご注意ください。

これは、マルウェアや不要なソフトウェアをダウンロードして実行させようとするページです。Google が運営するサイトだと思わせるために Chrome のロゴと名前を使っています。こうしたコンテンツには、Google とは無関係であることを示す免責条項が目立たない場所に書かれている場合がありますが、このコンテンツが不正なものであることに変わりはありません。ウェブからファイルをダウンロードするときはいつでも注意を払うようにしてください。

これはテクニカル サポートの電話番号をかたったページです。偽の警告メッセージを表示して、Google またはその他の信頼できる組織になりすました無関係の企業に電話をかけさせようとしています(Chrome では有料のリモート サポートは提供していません)。

これは偽の Google ログインページです。ユーザーをだましてアカウントのログイン用認証情報を入手しようとしています。この種のフィッシングを行うサイトでは、クレジット カード情報などその他の個人情報の入力を要求されることもあります。フィッシング サイトはまるで本物のサイトのように見えるように作られているため、アクセスしている URL が本物に間違いないことをアドレスバーで確認するとともに、そのウェブサイトが「https://」で始まるかどうかもチェックするようにしましょう。詳しくはこちらをご覧ください。

ソーシャル エンジニアリングのコンテンツが含まれるウェブページであることが特定されると、Chrome では次のようなページを表示してユーザーに警告します。

(セーフ ブラウジングで誤って不正なサイトとして分類されているウェブページがある場合は、こちらからご報告ください)

Google では、より多くのユーザーがオンライン コンテンツを安心して利用できるようにするため、セーフ ブラウジングによる保護を引き続き強化していきます。詳しくは、透明性レポートのセーフ ブラウジングに関するページをご覧ください。

赤い警告の裏側: ウェブサイトの安全性に関する情報をもっと

この記事は 2015 年 10 月 20 日に Google Online Security Blog に投稿された記事「Behind the red warning: more info about online site safety」の翻訳です。

ウェブを閲覧していて、お気に入りのバンドの最新ニュースをチェックしようとしたときなどに、突然「アクセス先のサイトで不正なソフトウェアを検出しました」という赤い警告画面が表示されることがあります。こうした警告は最近登場したものではありません。Google セーフ ブラウジングでは 2006 年から、安全でないサイトへユーザーがアクセスしようとしたときにこのような警告を表示し、マルウェアへの感染やフィッシング攻撃など、安全でないサイトによって引き起こされる損害からユーザーを保護しています。しかし、特定のウェブサイトでなぜ警告が表示されたのかは必ずしも明確ではなかったうえ、ユーザーの皆様に詳細を十分にお伝えできていませんでした。

こうした警告をわかりやすくするために、透明性レポートに [サイト ステータス] を追加しました。次回セーフ ブラウジングの警告が表示された際は、ブロックされたウェブサイトを透明性レポートで検索することで、そのサイトに対して Google のシステムが警告を表示している理由を確認することができます。

透明性レポートの [サイト ステータス] は、これまでのセーフ ブラウジング診断ページに代わって提供されます。使いやすいインターフェースを備え、望ましくないソフトウェアをホストするサイトの詳細など、問題をわかりやすく説明します。このセクションを透明性レポートに追加することで、セーフ ブラウジングとその仕組みを理解するうえで必要な情報を透明性レポートの [セーフ ブラウジング] の 1 か所で確認できるようになりました。

お気に入りのウェブサイトが「危険」と表示される場合、その多くはユーザーのアップロードした不適切なコンテンツや、マルウェアへの一時的な感染が原因です。ウェブマスターによってウェブサイトの問題が解決されると、[サイト ステータス] は通常の状態に戻ります。このプロセスが迅速に行われるよう、問題に関する警告が Search Console を介してウェブマスターに自動的に送信されます。Google アナリティクスをお使いの皆様には、サイト上にマルウェアが検出された場合に Google アナリティクスでも通知します(ウェブマスターの方は、ウェブサイトからマルウェアを削除する方法をヘルプセンターでご確認ください)。

Google では、オンライン ユーザーの皆様の保護と情報の提供に努めております。透明性レポートに追加された [サイト ステータス] にアクセスして、ぜひ直接お試しください。