本物の <サイト名をここに挿入> は主張してください

2010 年 3 月 30 日(火曜日)

フィッシングが疑われる場合の警告

Google オンライン セキュリティ ブログの最近の投稿で、フィッシング ページを特定するシステムについて説明しました。Google は数百万件のウェブページをスキャナで分析し、フィッシング ページの 9 割を特定できています。フィッシングでないサイトをフィッシング サイトであると誤って報告するケースは 1 万回に 1 回程度でしかなく、Google の分類システムは他の同様のシステムよりはるかに優れています。経験上、「誤検出」したサイトは通常、スパムを配信するために作られたものです。あるいは、他の疑わしい活動に関与している可能性があります。サイトが誤ってフィッシング ページのリストに追加(「Reported Web Forgery!」)されていることがわかった場合は、誤りである旨を報告してください。一方、サイトがマルウェアのリスト(「このサイトはパソコンに損害を与える可能性があります」)に追加されている場合は、マルウェアによる問題の修正についての説明に沿って対応してください。Google のチームは 1 日以内にすべての申し立てに対応し、通常は数時間以内に返信します。

申し訳ありませんが、ご報告いただいた内容について調査を行う際に、自動システムと同程度に Google 担当者も混乱している場合があります。ウェブサイトを運用されている場合は、間違いを速やかに修正し、フィッシング リストのサイトを排除するための、以下の簡単なガイドラインを参考にしてください。

サイトに属していないユーザー名とパスワードは要求しない

定義上、この動作はフィッシングとみなされているため、絶対にしないでください。別のサイトにアドオン サービスを提供する場合は、代わりに公開 API または OAuth の使用を検討してください。

ログイン欄の付近に自分のものではないロゴが表示されないようにする

ウェブを閲覧できるユーザーは、ロゴがお客様のウェブサイトを表していると誤解し、他のサイトに入力する予定であった個人情報をお客様のウェブサイトに誤って入力してしまう可能性があります。また、こうした表示が意図的に行われたものではないとは言い切れないため、Google は念のためにサイトをブロックすることがあります。誤解を防ぐために、ロゴを表示する場合は慎重に行うことをおすすめします。

サイトで、特にログインに使用されるドメイン数を最小限に抑える

サイト X のユーザー名とパスワードをサイト Y で要求することは、非常に不審です。サイトを評価しにくくなるだけでなく、疑わしい URL を無視するよう訪問者に伝えることで、かえって実際のフィッシング攻撃に対して脆弱になるおそれがあります。ログインページをメインサイトとは異なるドメインで運用せざるを得ない場合は、ユーザーがプライマリ ドメインからそのページにアクセスできるようにするために、透過プロキシを使用することを検討してください。それでもうまくいかない場合は、次のようにします。

メインサイトからドメイン外のページへのリンクが見つけにくい場合、Google とサイトのユーザーにとって、誰がそのドメイン外のページを管理しているのかを判断することは困難です。この問題は、ドメイン外の各ページからもドメイン内のリンク元ページにリンクするだけで解決できます。これを行わず、あるページが誤って Google のリストに登録された場合は、メインサイトから誤ってブロックされたページへのリンクを見つける方法について、エラーレポートでお知らせください。他に何もしない場合は、次のようにします。

メールかインスタント メッセージにしか表示されない通常とは異なるリンクを確認することは、ほとんど不可能です。さらに悪いことに、この種のリンクを使用すると、ユーザー、お客様、友人がメールや IM で受け取った不審なリンクをクリックするきっかけとなり、フィッシング以外のインターネット犯罪の危険にさらすおそれがあります。

こうした推奨事項が常識となることを願っていますが、大手 e コマース企業や金融会社では、こうしたガイドラインから逸脱する事例が時おり見られます。ガイドラインに沿って対応すると、フィッシング対策システムの利便性が向上するだけでなく、オンライン ユーザー エクスペリエンスの改善にもつながります。