公的機関や企業の被害も多発!偽サイトの見分け方

私たちが日常的に使っている検索サイト。その上位に偽サイトが表示されていると、欲しい情報にアクセスできないだけでなく、ウイルス感染やフィッシング詐欺に遭うリスクもあります。

なぜ上位に偽サイトが表示されるのか、そしてどういった対策が考えられるのか、具体的な手法を紹介します。

公的機関や企業の被害も多発!偽サイトの見分け方

検索結果の上位が正しいとは限らない

2022年6月、地方自治体の偽サイトが多く登場し、それが検索サイトで検索した結果の上位に表示されてしまう、という事例が話題になりました。

地方自治体の偽サイト相次ぎ出現 Bingなどで検索上位に 不審なURLに注意

多くの人が、検索サイトの検索結果を上位から開くため、Webサイト制作者の多くはSEO(検索エンジン最適化)などの手法を使って、上位に表示するように工夫しています。悪意を持って偽サイトを制作する人も同様の手法を使うため、正規のWebサイトよりも偽のWebサイトの方が上位に表示される現象が起きてしまう場合があります。

SEOによる上位表示だけでなく、広告による表示もあります。Googleなどの検索エンジンでは、検索結果とあわせて、そのキーワードにマッチする広告を表示しています。企業が自らの商品などを上位に表示するために広告を出すことは日常的におこなわれていますが、悪意のある第三者が広告料を支払ってでも上位に表示することで、偽サイトに誘導できるのです。

このような偽サイトにアクセスすると、ウイルス感染やフィッシング詐欺のリスクが高まります。
つまり、アクセスする前に、そのサイトのURLなどを確認し、偽サイトにアクセスしないことが求められているのです。

では、どうやって偽サイトかどうかを判断すればよいのでしょうか?

URLの構成を知る

Webサイトにアクセスする前に、私たちが把握できるのはURLです。検索結果にもページのタイトルとあわせてURLが表示されています。リンクをクリックしたり、URLを入力したりしてWebサイトにアクセスしますが、いずれにしてもそのWebサイトを識別するものがこのURLです。

URLはWebブラウザのアドレスバーに表示されており、次のような文字が並んでいます。

アドレスバー上のURL表示例

この先頭にある「https://」の部分は、HTTPやHTTPSといったプロトコル(通信規約)でアクセスすることを意味しています。HTTPSであれば暗号化などの機能があり、安全なように思いますが、偽サイトでもHTTPSに対応しているものが増えているため、ここだけでは判断できません。

そこで、その後に続く「www.example.co.jp」という部分を見ます。これは、それぞれのWebサイトが設置されているWebサーバーを識別する部分です。この「example.co.jp」の部分はドメイン名、「www」はホスト名と呼ばれます。上記であれば「example.co.jp」というドメインにある、「www」というホスト(サーバー)を表しています。一般的にドメイン名は次のような階層構造になっています。

ドメイン名階層構造図

ドメイン管理業者に申請し、料金を支払うことで、そのドメイン名が空いていれば取得できます。
多くの会社が自社の社名や商品名でドメイン名を取得しているため、このドメイン名が本来のものであれば正規のサイトだと判断できます。会社であれば「.co.jp」、大学であれば「.ac.jp」、政府機関であれば「.go.jp」などのドメイン名は実際に存在しないと取得できないため、信頼度は高いものです。

商品名で取得する場合や、個人事業主の場合は、こういったものは取得できないため、「.com」などがよく使われています。

HTTPSの証明書を確認しよう

ドメイン名で判断できるといっても、よく使うWebサイトや、有名な会社でなければ、そのドメイン名を覚えていないでしょう。似たようなドメイン名のサイトがあると、URLを見ただけでは、それが正規のサイトなのか偽のサイトなのか見抜くのは困難です。

そこで、URLのドメイン部分以外で正規のサイトであるかを判断することを考えます。たとえば、 何らかのサービスに会員登録するとき、そのサービスの運営者の情報を確認したい状況が考えられます。本文中に問い合わせ先が書かれている場合はありますが、これは偽装できるため、他の方法を考えます。

このときに使えるのが上記でも登場したHTTPSです。HTTPSはWebブラウザとWebサーバーとの間の通信を暗号化するために使っていると考えている人が多いですが、サイトの運営者の実在証明にも使われており、「証明書」が発行されています。

https図解

具体的には、Webブラウザに表示されている鍵マーク(南京錠マーク)をクリックすることで、そのWebサイトで使われている証明書の内容を表示できます。この証明書には、DV証明書、OV証明書、EV SSL証明書などの区別がありますが、暗号の強度は変わりません。

DV証明書とそれ以外(OV証明書、EV SSL証明書)の違いとして、その組織の情報を証明書内で確認できるかどうかが挙げられます。

たとえば、Googleの証明書を見てみましょう。Googleにアクセスし、鍵マークをクリックして証明書を表示すると、次のような内容を確認できます。「詳細」タブの「サブジェクト」を見ると、「CN=」という部分のみが記載されています。

Googleの証明書内容確認図

次に、Twitterの証明書を見てみましょう。Twitterにアクセスし、鍵マークをクリックして証明書を表示すると、次のような内容を確認できます。「詳細」タブの「サブジェクト」を見ると、「CN=」の他に「O=」などの項目があります。この「O=」という行が組織(Organization)を意味しています。

Twitterの証明書内容確認図

これは、GoogleがDV証明書を使っていて、TwitterがOV証明書もしくはEV SSL証明書を使っていることを意味します。DV証明書はそのドメインを所有していることを表しますが、その組織が存在するかまではわかりません。一方、OV証明書やEV SSL証明書であれば、その組織が存在することまで検証されています。

このように、HTTPSの証明書を見ると、そのWebサイトを運営している会社の情報を確認できますが、現実的にはGoogleのようにDV証明書を使っている企業も多いものです。このため、1つの参考にはなりますが、ここを見て判断するのは難しいものです。

利用者としてできる現実的な対策

上記のように証明書を確認する方法は確実ですが、毎回確認するのは面倒ですし、検索サイトで検索したり、メールのリンクをクリックしたりするたびに、それが正規のサイトかどうかを確認するのは現実的ではありません。

そこで、よく使うサイトであれば、検索結果からアクセスするのではなく、Webブラウザのお気に入りに登録しておきます。そのサイトからメールが届いた場合も、メールの本文に書かれているクリックするのではなく、お気に入りからアクセスするようにします。これにより、フィッシング詐欺の被害に遭うリスクを抑えられます。

ログインが必要なサイトであれば、パスワード管理ソフトを使う方法も有効です。パスワード管理ソフトにIDやパスワードを記録させておくと、そのサイトにアクセスしたときに、自動的に入力してくれます。フィッシング詐欺のメールのリンクをクリックするなど、異なるドメインのサイトにアクセスしても自動的に入力されないため、本来のサイトと異なるドメインであることに気づけるのです。

ただし、過去にアクセスしたことがないサイトで会員登録するような場合には、お気に入り機能やパスワード管理ソフトは使えません。この場合は、証明書の内容を確認する他に、そのURLをTwitterなどで検索する方法があります。そのドメインをTwitterで検索すると、偽サイトであれば誰かがつぶやいている場合もあるためです。

運営者としてできる対策

偽サイトを公開されてしまい、それが自社のサイトよりも検索結果の上位に表示されると、新たな顧客を獲得する機会を失うだけでなく、既存の顧客が被害に遭う可能性もあります。このため、検索サイトでの検索結果の上位に自社のサイトを表示することが求められています。

偽サイトの事業者に負けないようにSEOを頑張るのも1つの方法ですし、わかりやすいドメインを取得することも大切です。レンタルサーバーから無料で割り当てられるようなドメインを使用するのではなく、会社名などで独自ドメインを取得し、証明書を設置することで信頼感を与えられます。

また、TwitterなどのSNSも有効に活用します。公式アカウントを作成し、公式サイトと連携して情報を発信することで、偽サイトにはできない運営が可能になります。もしTwitterなどで情報を発信しない場合でも、会社名や商品名などのアカウント名を他人に取得されないようにアカウントを作成しておくことも検討します。

もし偽サイトが現れた場合には、自社サイトで警告を出すだけでなく、検索サイトの運営事業者に対して、報告する方法もあります。

ここまで、偽サイトが上位に表示される原因と利用者・運営者の観点で今日からできる対策についてお話ししました。利用者と運営者、双方が対策することによって誤った情報に騙されることなく安全に検索サイトを使用することができます。今日からできる対策などもありますので、ぜひ原因を理解した上で対策を実施していただきたいと思います。

著者プロフィール
増井 敏克氏(ますい としかつ)
増井技術士事務所代表。技術士(情報工学部門)、情報処理技術者試験にも多数合格。
ビジネス数学検定1級。

「ビジネス」×「数学」×「IT」を組み合わせ、コンピューターを「正しく」「効率よく」使うためのスキルアップ支援や各種ソフトウェア開発、データ分析などをおこなっている。

著書に『図解まるわかり セキュリティのしくみ』『図解まるわかり プログラミングのしくみ』『図解まるわかり アルゴリズムのしくみ』『IT用語図鑑』『IT用語図鑑[エンジニア編]』『Pythonではじめるアルゴリズム入門』『プログラマ脳を鍛える数学パズル』『プログラマを育てる脳トレパズル』(以上、翔泳社)、『プログラマのためのディープラーニングのしくみがわかる数学入門』『プログラミング言語図鑑』(以上、ソシム)、『基礎からのプログラミングリテラシー』(技術評論社)、『RとPythonで学ぶ統計学入門』(オーム社)などがある。