ソーシャル エンジニアリング(フィッシングや偽のサイト)

ソーシャル エンジニアリングとは、相手をだまして危険な行為(機密情報の提供やソフトウェアのダウンロードなど)に誘導する手口のことを指します。ソーシャル エンジニアリング コンテンツが検出されたウェブサイトを Chrome ブラウザで表示しようとすると、「偽のサイトにアクセスしようとしています」という警告が表示されることがあります。[セキュリティの問題] レポートにアクセスすると、自分のウェブサイトからソーシャル エンジニアリング攻撃が検出されていないか確認できます。

セキュリティの問題レポートを開く

ソーシャル エンジニアリングとは

「ソーシャル エンジニアリング攻撃」とは、オンライン ユーザーを危険な行為に誘導する手口を指します。

ソーシャル エンジニアリング攻撃には、次のようにさまざまな種類があります。

  • フィッシング: フィッシング サイトは、ユーザーをだまして個人情報(パスワード、電話番号、クレジット カード番号など)を入力させます。フィッシング サイトは、誰でもよく知っているブラウザ、オペレーティング システム、銀行、行政機関などの動作や画面デザインを模倣しています。
  • 偽のコンテンツ: パスワードの共有、テクニカル サポートへの電話、ソフトウェアのダウンロードといった、信頼できる存在に対してのみ取る行動にユーザーを誘い込むコンテンツを指します。デバイスのソフトウェアが古いなどと偽って望ましくないソフトウェアをインストールさせようとする広告も含まれます。
  • 身元の表示が不十分なサードパーティ サービス: サードパーティ サービスとは、サイト所有者の代わりにサイトやサービスを運営しているエンティティのことを指します。サードパーティがファースト パーティとの関係を明らかにせずに、その代理としてサイトを運営している場合、ソーシャル エンジニアリングとして報告される可能性があります。たとえば、慈善サイトを運営するファースト パーティが、そのサイトで募った寄付金を処理するためにサードパーティの寄付管理サイトを利用している場合、寄付管理サイトでは、慈善サイトの代理プラットフォームである旨を明示する必要があります。明示されていない場合、ソーシャル エンジニアリングと見なされる可能性があります。

Google セーフ ブラウジングは、ソーシャル エンジニアリングに利用され続けているページからユーザーを保護するため、ユーザーがページを訪問する前に警告を表示します。

次の場合、ウェブページはソーシャル エンジニアリングと見なされます。

  • 信頼できる存在(ユーザーのデバイスやブラウザ、ウェブサイト自体など)の動作やデザインを模倣している
  • ユーザーをだまして、信頼できる存在に対してのみ行うような行為(パスワードの共有、テクニカル サポートへの電話、ソフトウェアのダウンロードなど)に誘導しようとしている

埋め込まれたソーシャル エンジニアリング コンテンツ

ウェブサイト自体は無害でも、ソーシャル エンジニアリング コンテンツが広告などの形で埋め込まれる場合があります。そのような場合はホストページのポリシーに違反します。

埋め込まれたソーシャル エンジニアリング コンテンツの中には、ホストページ上でユーザーに表示されるタイプもあります(を参照)。また、ホストサイト上の広告ではなく、ポップアップやポップアンダーなどを駆使したリダイレクト手法で不正サイトに誘導する手口もあります。いずれにせよ、ソーシャル エンジニアリング コンテンツが埋め込まれている場合はホストページのポリシーに違反します。

気付かないうちに攻撃に利用されている場合

ソーシャル エンジニアリング コンテンツは、ページ内のリソース(画像、他のサードパーティ コンポーネント、広告など)に埋め込まれ、望ましくないソフトウェアのダウンロードなどに訪問者を誘い込む場合があります。

また、無害なサイトにハッカーが侵入し、ソーシャル エンジニアリング コンテンツを埋め込む場合もあります。そうしたハッカーは、主にユーザーからクレジット カード番号などの個人情報を不正に引き出す目的で、サイトのコンテンツを変更したり、サイトにページを追加したりします。Search Console の [セキュリティの問題] レポートを開くと、自分のサイトからソーシャル エンジニアリング コンテンツが検出されていないか確認できます。

サイトがハッキングされたと思われる場合は、ハッキングされたサイトに関するヘルプをご覧ください。

ソーシャル エンジニアリングの例

偽のコンテンツの例

ソーシャル エンジニアリングと見なされるページの例を以下に示します。

ユーザーに不要なアプリケーションをインストールさせようとするポップアップを表示するソーシャル エンジニアリング
ユーザーをだましてマルウェアをインストールさせようとする偽のポップアップ

ブラウザの更新が必要であるとユーザーをだますソーシャル エンジニアリングの例
ブラウザのアップデートを手助けしているかのように誤認させる偽のポップアップ

Google の偽のログインページ
Google の偽のログインページ

虚偽の広告の例

広告に埋め込まれた虚偽のコンテンツの例を以下に示します。このような広告は、広告ではなくページのインターフェースの一部であるかのように表示されます。

ページ上でメディア プレーヤーのアップデートを装う虚偽の広告
ユーザーのソフトウェアが最新版でないと誤認させる偽のポップアップ

必須コンポーネントのインストーラを装う虚偽の広告
FLV デベロッパーが提供する正規の表示であるかのようになりすました偽のポップアップ

ホストページで再生コントローラを装う虚偽の広告
ページの操作ボタンになりすました広告

問題の解決

運営しているサイトが「ソーシャル エンジニアリング(偽のコンテンツ)を含む」と報告された場合、上記のようなコンテンツがサイトに紛れ込んでいないか確認したうえで、次の手順を踏んでください。

  1. Search Console で確認します
    • Search Console で自分がサイトの所有者であること、かつ不審な所有者が新しく追加されていないことを確認します。
    • [セキュリティの問題] レポートで、サイトから偽のコンテンツ(レポート上ではソーシャル エンジニアリングと同義)が検出されていないか確認します。レポートで報告されているサンプル URL にアクセスしてみてください。その際は、ウェブサイトを配信しているネットワークの外部にあるパソコンを使用してください(巧妙なハッカーは、訪問者がウェブサイトの所有者であると判断した場合に、攻撃を隠すことがあります)。
  2. 偽のコンテンツを削除します。サイトのどのページにも偽のコンテンツが含まれていないことを確認します。セーフ ブラウジングで誤って不正なサイトとして分類されているウェブページがある場合は、ご報告ください
  3. サイトに含まれるサードパーティのリソースを確認します。サイトのページ上にあるサードパーティの埋め込みリソース(広告や画像など)が偽物でないことを確認します。
    • 広告ネットワークの場合、サイトのページ上で広告をローテーション表示していることがあります。そのため、ソーシャル エンジニアリング広告が表示されるまでにページを数回更新する必要がある場合があります。
    • 広告によっては、モバイル デバイスとパソコンで表示が異なります。URL 検査ツールを使用すると、モバイル表示とパソコン表示の両方からサイトを確認できます。
    • なんらかのサードパーティ サービス(決済サービスなど)をサイト内で利用している場合は、下記のサードパーティ サービスに関するガイドラインに沿って対応してください。
  4. 再審査をリクエストします。サイトからソーシャル エンジニアリング コンテンツをすべて削除したら、[セキュリティの問題] レポートでセキュリティ審査をリクエストしてください。再審査の完了には数日かかる場合があります。

サードパーティ サービスに関するガイドライン

サイトでサードパーティ サービスを使用する際にソーシャル エンジニアリングと間違われないようにするためには、次の条件を満たすことをおすすめします。

  • サードパーティのサイトでは、ユーザーがサイトの運営者を理解できるよう、すべてのページにサードパーティのブランドをはっきりと記載する必要があります。たとえば、ページの上部にサードパーティのブランドを表示します。
  • ファースト パーティのブランドが記載されているすべてのページに、ファースト パーティとサードパーティの関係を明示します。また、詳細ページへのリンクを含めます。たとえば、次のように記載します。

    このサービスは、Example.charities.com の代理として Example.com が提供しています。詳細

ユーザビリティの良否は、今現在閲覧しているサイトをすぐに把握できるか、ファースト パーティとサードパーティの関係をどこでも理解できるかの 2 点に左右されます。