2021.9.2

Webサイトの安全性を確認する方法

この記事をシェア

本物と偽物のWebサイトを見分けるのは難しい。そこで悪意のあるWebサイトを特定し、自らの身を守るのに有効な方法を紹介する。

この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

一日のうちに数十から数百のWebサイトを閲覧する人もいるだろう。毎日のようにニュース記事やソーシャルメディア、動画配信サイトの番組、そして友人から送られたリンクをクリックしている。しかし、開いたWebサイトのすべてが安全で、フィッシングサイトではないと確信できているだろうか？

本記事では、個人情報漏えいのリスクを避け、デバイスがマルウェアに感染しないよう、Webサイトの安全性を確認する簡単な方法について解説する。

URL内のスペルミスや、紛らわしい文字列に注意

同音異義語を使った攻撃（ホモグラフ攻撃とも呼ばれる）や、URLにスペルミスや紛らわしい文字を混ぜて悪意のあるWebサイトへ誘導させる攻撃は、一般的によく知られた手法の一つである。辞書と格闘するような名前に聞こえるかもしれないが、簡単に言うとホモグリフ攻撃は、視覚的に紛らわしい文字列や識別しにくい文字を加えたドメイン名でユーザーを欺く手法だ。

例えば、「Microsoft」という社名に似せた、「rnicrosoft.com」というドメイン名を取得する。よく見ると頭文字の「m」が「r」と「n」の組み合わせになっており、「m」と誤認される可能性を悪用しようとしている。フォントや文字サイズ、読者の注意力によっては識別が難しい。あるいは、「facebook」にある二つの「o」のうち、一つあるいは両方がギリシャ語の「ο（オミクロン）」に置き換えられて「faceboοk.com」というドメイン名になっている場合に、その違いに気づくのは非常に困難だ。

図1：一個目のドメイン名は「o」の代わりにギリシャ語のオミクロンを使っている。
「.com」ドメインの文字列が置換されるケースは少ないが、上記の問題を理解する助けとなる。
参考：なりすましURL: ホモグラフ攻撃について

同様の手法として、タイポスクワッティングというものがある。「gogle.com」や「gooogle.com」のように、有名なWebサイトにわざと入力ミスを加えたドメイン名を使う。この例の場合、現在はグーグル社の所有となり、「正しい」GoogleのWebサイトに誘導されるようになっているが、同様の例はいくらでも考えられる。下図では、「facebook」というドメイン名にある最後の「k」に対して考えられる入力ミスについて、フェイスブック社が保護しているキーボードの範囲を図示している。

図2：タイポスクワッティングを防ぐため、「facebook」の「k」を水色の文字で置換したドメイン名は、正式なfacebook.comドメインに遷移するよう、フェイスブック社はドメインを登録している。黄色で示した文字は他社のWebサーバーで運用されており、白色の文字は執筆時点では利用されていない。
[Copyright WeLiveSecurity, 2021. Adapted from Brilliantwiki2’s original. Creative Commons License This work is licensed under a Creative Commons Attribution-ShareAlike 4.0 International License.]

もちろん、なりすましたWebサイトは訪問者が見分けられないように作られている。そのため、URLをコピーしたり、リンクを直接クリックしたりする際は、正しいWebサイトであることを確認するよう、十分注意するべきだ。セキュリティ製品の中には、ホモグリフ攻撃を検出するものもあり、疑わしいWebサイトを開いた際にはアラートが通知される機能が提供されている。

悪意のあるWebサイトかどうか検証する

訪問したWebサイトが疑わしいと感じたり、あるいは、リンクを開く前に怪しいと感じた場合は、悪意のあるWebサイトかどうかを確認するオンラインツールを利用できる。

まず、グーグル社はセーフブラウジング・サイトステータス・ツールを提供しており、WebサイトのURLを入力すると、それが安全なサイトかどうか回答してくれる。同様のツールとして、VirusTotalのURLチェッカーが利用可能だ。入力されたWebサイトに対し、複数の有力なウイルス対策エンジンやWebサイトスキャン・エンジンで検証を行い、特定のURLに悪意のあるものが含まれていないかを知らせてくれる。問題がないと判定された場合に、さらに詳細な分析を行っても構わない。SANS社のインストラクターLenny Zelser氏によってまとめられたツール群も参照してみてほしい。

他には、Whois検索を実施して、訪問するWebサイトのドメインが誰に所有されているかを調べる方法もある。Whois情報とは、検索対象のドメイン所有者は誰か、いつ、どこで登録されたか、所有者に連絡する方法は、といった情報が含まれる。Whois検索を行うには、専用のWebサイトを用いて参照したいWebサイトのアドレスを入力する。

ここで確認するべきことは、ドメインが最近登録されたかどうかだ。悪意のある使われ方をしているかどうかの指標になり得る。例えば、Facebookが2021年2月に初めて登録されたドメインであるはずがない。また、「詳細情報」をクリックした際に、情報が十分に入力されていなかったり、入力ミスが多かったりした場合も悪意のあるドメインであるリスクが高い。ただし、登録データを入力した人の不注意だという可能性も考えられる。

プライバシーポリシーを確認する

Webサイトについて検証し、本物かどうか判断に迷う場合に確認するべきことは、プライバシーポリシーだろう。Webサイトがいかにユーザーのデータを取り扱い、保護しているのかを説明するよう、個人情報保護法によって定められている。本物のWebサイトであればプライバシーポリシーを掲載しているはずだ。

個人情報保護法、特に欧州GDPR（一般データ保護規則）に違反した企業は、プライバシーとセキュリティの不備に対して厳しい罰則が科される場合がある。プライバシーポリシーを掲載していないか、それが確認できないWebサイトは、世界中で施行されている厳しいデータ保護の法律に従っておらず、何らかの違反をしている可能性が高い。

連絡先を確認する

顧客と有効な関係を保ちたいと考える企業は、何らかの問題が発生した場合に備えて、Webサイトのどこかに連絡先を掲載している。通常は、入力フォーム、Eメール、住所、電話番号などが確認可能だ。重要な取引を行う際に、信頼できる企業かを検証するため、確認するべき事項だろう。

例えば、掲載された電話番号にかけた際に、応答した人によってすぐに電話が切られてしまったのなら、おそらく、その相手は詐欺師だろう。電話番号に問題がなかったとしても、その企業の正式な連絡先について検索して再確認してから電話をかけるのは良い方法だ。

HTTPSの「S」を確認するのはもはや万全とはいえない

Webサイトが安全であるか確認するのに、HTTPSプロトコルを使っているかどうかチェックする場合がある。HTTPSはWebサイトを保護するのに最も重要だと言われるケースがあるが、実際にはそれは言い過ぎだろう。HTTPSは、Webサイトと訪問者のWebブラウザー間で行われる通信が十分に暗号化されていることを保証しているに過ぎない。オンラインバンキングのようなログインを必要とするWebサイトを安全に利用する際に盗聴を防ぐことは可能だ。

図3：Webサイトへの安全な接続

しかし、安全に接続しようとしているWebサイトが本当に銀行のものなのか、あるいは、ログイン情報を詐取するために作られた偽のWebサイトなのかという、重要な問題には対策が講じられていない。

近年では本物の企業と同様に、サイバー攻撃者が偽のWebサイトにSSL/TLS証明書を取得するのも容易になっている。SSL/TLS証明書の取得は安価、あるいは無料でできるため、ユーザーを騙すために偽のWebサイトで取得する事例が増えているのだ。

結局、現在オンライン上にある大多数のWebサイトはSSLかTLSの通信を使用しているのため、閲覧しているWebサイトが安全かどうかの指標にはなり得ない。総合的な判断を下すための一つの材料として考え、他にも怪しい兆候がないかを確認するべきだ。本記事で指摘した事項をもとに確認し、Webサイト全体としての安全性を検証することが望ましい。

証明書については、それがどの組織が発行しているのか確認することを推奨する。取り扱うデータの機密性が高いにも関わらず、証明書が無料や安価で取得できるものであるならば、詐欺サイトの可能性が高いため、そのWebサイトを十分に検証する必要がある。Webブラウザーのアドレスバーにある南京錠の形をしたアイコンをクリックすると、証明書の有効性や、信頼できる組織から発行されたかどうかを確認できる。

信頼できるセキュリティソリューションを使用する

信頼できる総合セキュリティソリューションは、悪意のあるWebサイトを含めたオンライン上の脅威から身を守るために大いに役立つ。Webページの中から悪意のあるコンテンツを検索するスキャン・エンジンを備えるものが多く、何らかの脅威を検出した際はWebサイトへのアクセスをブロックし、悪意のあるコンテンツがデバイスにダウンロードされるのを防いでくれる。

セキュリティツールは既知の詐欺サイトリストを保有しており、それと合致した際にアクセスをブロックするものもある。また、高度なセキュリティソリューションは、フィッシング対策の機能を搭載している。本物になりすました偽のWebサイトで、パスワードや銀行データ、あるいは他の機密情報が詐取されるのを防いでくれる。あるURLを開いた際に、フィッシングサイトのデータベースを参照し、合致した場合は即座にアクセスを遮断して危険があることをユーザーに通知する。