ソーシャル エンジニアリング(フィッシングや偽のサイト)

ソーシャル エンジニアリングとは、機密情報の公開やソフトウェアのダウンロードなど、閲覧者をだまして危険な行為に誘導するコンテンツのことを指します。Google では、ウェブサイトにソーシャル エンジニアリング コンテンツが含まれていると検出した場合、そのサイトをウェブユーザーが Chrome ブラウザで表示しようとしたときに [偽のサイトにアクセスしようとしています] という警告を表示することがあります。[セキュリティの問題] レポートにアクセスすると、自分のサイトのページにソーシャル エンジニアリング攻撃が含まれる疑いがあるかどうかを確認できます。

[セキュリティの問題] レポートを開く

概要

ソーシャル エンジニアリングとは

「ソーシャル エンジニアリング攻撃」とは、ウェブユーザーがオンライン上で危険な行為に誘導されることを指します。

ソーシャル エンジニアリング攻撃には、次のようにさまざまな種類があります。

  • フィッシング: フィッシング サイトは、ユーザーをだまして個人情報(パスワード、電話番号、クレジット カード番号など)を不正に入力させます。フィッシング サイトのコンテンツは、信頼できるエンティティ(ブラウザ、オペレーティング システム、銀行、行政機関など)の挙動やデザインを模倣しています。
  • 偽のコンテンツ: ユーザーをだまして、信頼できるエンティティに対してのみ行うような行為(パスワードの共有、テクニカル サポートへの電話、ソフトウェアのダウンロードなど)に誘導しようとするコンテンツ、またはデバイスのソフトウェアのバージョンが古いなどと偽って望ましくないソフトウェアをインストールさせようとする広告を含むコンテンツを指します。
  • 身元の表示が不十分なサードパーティ サービス: サードパーティ サービスとは、サイト所有者の代わりにサイトやサービスを運営しているエンティティのことを指します。サードパーティがファースト パーティとの関係を明らかにせずに、その代理としてサイトを運営している場合、ソーシャル エンジニアリングとして報告される可能性があります。たとえば、慈善サイトを運営するファースト パーティが、そのサイトで募った寄付金を処理するためにサードパーティの寄付管理サイトを利用している場合、寄付管理サイトでは、慈善サイトの代理として活動するサードパーティ プラットフォームであることを明示する必要があります。明示されていない場合、ソーシャル エンジニアリングと見なされる可能性があります。

Google セーフ ブラウジングでは、継続的にソーシャル エンジニアリングに関与しているページからウェブユーザーを保護するため、ユーザーがページを訪問する前に警告を表示します。

次の場合、ウェブページはソーシャル エンジニアリングと見なされます。

  • 信頼できるエンティティ(ユーザーのデバイスやブラウザ、ウェブサイト自体など)の挙動やデザインを模倣している
  • ユーザーをだまして、信頼できるエンティティに対してのみ行うような行為(パスワードの共有、テクニカル サポートへの電話、ソフトウェアのダウンロードなど)に誘導しようとしている

埋め込み型のソーシャル エンジニアリング コンテンツ

ソーシャル エンジニアリング コンテンツは、通常は無害なウェブサイトに対して、広告などの形で埋め込まれることもあります。埋め込み型のソーシャル エンジニアリング コンテンツは、ホストページのポリシー違反となります。

埋め込み型のソーシャル エンジニアリング コンテンツの中には、ホストページ上でユーザーに表示されるタイプもあります(下記の例を参照)。また、ホストサイト上に広告は表示されず、ポップアップやポップアンダーなど、さまざまなリダイレクト手法を通じてユーザーをソーシャル エンジニアリング ページに誘導するタイプもあります。どちらのタイプであっても、埋め込み型のソーシャル エンジニアリング コンテンツは、ホストページのポリシー違反となります。

ソーシャル エンジニアリングの手法

不正なソーシャル エンジニアリング コンテンツは、ページに埋め込まれたリソース(画像、他のサードパーティ コンポーネント、広告など)を介して含まれる場合があります。そのような偽のコンテンツがサイトのユーザーを望ましくないソフトウェアをダウンロードするよう誘導する可能性があります。

また、ハッカーが無害なサイトを乗っ取り、ソーシャル エンジニアリング コンテンツをホストしたり配布したりするために利用する場合があります。そうしたハッカーは、主にユーザーからクレジット カード番号などの個人情報を不正に引き出す目的で、サイトのコンテンツを変更したり、サイトにページを追加したりします。自分のサイトがソーシャル エンジニアリング コンテンツをホストまたは配布しているサイトとして識別されているかどうかは、Search Console の [セキュリティの問題] レポートで確認できます。

サイトがハッキングされたと思われる場合は、ハッキングされたサイトに関するヘルプをご覧ください。

違反となるソーシャル エンジニアリングの例

偽のコンテンツの例

ソーシャル エンジニアリングと見なされるページの例を以下に示します。

Social engineering popup that tries to make the user install an unwanted application.
ユーザーをだまして不正なソフトウェアをインストールさせようとする偽のポップアップです。
Example of social engineering attempt claiming a browser update is required
ブラウザのアップデートを手助けしているかのように誤認させる偽のポップアップです。
Google の偽のログインページです。URL が偽物になっています。この種のフィッシングを行うサイトでは、クレジット カード情報などその他の個人情報の入力を要求されることもあります。フィッシング サイトは本物そっくりに作られている場合もあるため、アクセスしている URL が本物に間違いないことをアドレスバーで確認するとともに、URL が「https://」で始まっているかどうかも確認してください。

偽の広告の例

広告に埋め込まれた偽のコンテンツの例を以下に示します。このような広告は、広告ではなくページのインターフェースの一部であるかのように表示されています。

Deceptive ad claiming to be a media player update on the page.
ユーザーのソフトウェアが最新版でないかのように誤認させる偽のポップアップです。
Deceptive ad claiming to be an installer for a required component.
FLV デベロッパーが提供する正規の表示であるかのようになりすました偽のポップアップです。
Deceptive ads claiming to be playback controller buttons on the host page.
ページの操作ボタンになりすました広告です。

問題の解決方法

運営しているサイトが「ソーシャル エンジニアリング(偽のコンテンツ)を含む」と報告された場合、上記で示したような振る舞いがサイトで行われていないかどうか確認したうえで、次の手順を行ってください。

  1. Search Console にチェックインします
    • Search Console で自分がサイトの所有者であることと、不審な所有者が新しく追加されていないことを確認します。
    • [セキュリティの問題] レポートで、サイトが偽のコンテンツ(ソーシャル エンジニアリングを指す、レポート上の用語)を含んでいると識別されているかどうか確認します。レポートで報告されているサンプル URL にアクセスしてみてください。その際は、ウェブサイトを配信しているネットワークの外部にあるパソコンを使用してください(巧妙なハッカーは、訪問者がサイトのウェブマスターであると判断した場合に、攻撃を無効にすることがあります)。
  2. 偽のコンテンツを削除します。サイトのどのページにも偽のコンテンツが含まれていないことを確認します。セーフ ブラウジングで誤って不正なサイトとして分類されているウェブページがある場合は、こちらから報告してください。
  3. サイトに含まれるサードパーティのリソースを確認します。サイトのページ上にある広告や画像など、サードパーティの埋め込みリソースが偽物でないことを確認します。
    • 広告ネットワークは、サイトのページにローテーションで広告を表示している場合があります。そのため、ソーシャル エンジニアリング広告が表示されるまでにページを数回更新する必要がある場合があります。
    • 広告によっては、モバイル デバイスとパソコンで表示が異なるものもあります。URL 検査ツールを使用すると、モバイルとパソコン両方におけるサイトの表示を確認できます。
    • なんらかのサードパーティ サービス(決済サービスなど)をサイト内で利用している場合は、下記のサードパーティ サービスに関するガイドラインに沿って対応してください。
  4. 再審査をリクエストします。サイトからソーシャル エンジニアリング コンテンツをすべて削除したら、[セキュリティの問題] レポートでセキュリティ審査をリクエストしてください。再審査の完了には数日かかる場合があります。

サードパーティ サービスに関するガイドライン

サイトでサードパーティ サービスを使用する際にソーシャル エンジニアリングと間違われないようにするためには、次の条件を満たす必要があります。

  • サードパーティのサイトでは、ユーザーがサイトの運営者を理解できるよう、すべてのページでサードパーティのブランドをはっきりと記載する必要があります。たとえば、ページの上部にサードパーティのブランドを表示します。
  • ファースト パーティのブランドが記載されているすべてのページに、ファースト パーティとサードパーティの関係を明示します。また、詳細ページへのリンクを含めます。たとえば、次のように記載します。

     このサービスは、Example.charities.com の代理として Example.com が提供しています。詳しくはこちらをご覧ください。

サイトのユーザビリティが優れているかどうかの判断においては、ページを閲覧しているユーザーが、閲覧しているサイトの運営者や、ファースト パーティとサードパーティの関係を常に把握できるかどうかが基準となります。

おすすめの方法: サイトの基本的なサポート サービスを提供するにあたってサードパーティのサービスを利用する必要がある場合は、そのサービスに適した業界標準のサードパーティに依頼することをおすすめします。たとえば、サイトのユーザー認証を管理する場合は、認証を自分で管理するのではなく、OAuth を利用するべきです。
この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。