ソーシャル エンジニアリング(フィッシングや偽のサイト)
ソーシャル エンジニアリングとは、相手をだまして危険な行為(機密情報の提供やソフトウェアのダウンロードなど)に誘導する手口のことを指します。ソーシャル エンジニアリング コンテンツが検出されたウェブサイトを Chrome ブラウザで表示しようとすると、「偽のサイトにアクセスしようとしています」という警告が表示されることがあります。Search Console の [セキュリティの問題] レポートにアクセスすると、自分のウェブサイトからソーシャル エンジニアリング攻撃が検出されていないか確認できます。
ソーシャル エンジニアリングとは
「ソーシャル エンジニアリング攻撃」とは、オンライン ユーザーを危険な行為に誘導する手口を指します。
ソーシャル エンジニアリング攻撃には、次のようにさまざまな種類があります。
- フィッシング: フィッシング サイトは、ユーザーをだまして個人情報(パスワード、電話番号、社会保障番号など)を入力させます。フィッシング サイトは、誰でもよく知っているブラウザ、オペレーティング システム、銀行、行政機関などの動作や画面デザインを模倣しています。
- 偽のコンテンツ: パスワードの共有、テクニカル サポートへの電話、ソフトウェアのダウンロードといった、信頼できる存在に対してのみ取る行動にユーザーを誘い込むコンテンツを指します。デバイスのソフトウェアが古いなどと偽って望ましくないソフトウェアをインストールさせようとする広告も含まれます。
- 身元の表示が不十分なサードパーティ サービス: サードパーティ サービスとは、サイト所有者の代わりにサイトやサービスを運営しているエンティティのことを指します。サードパーティがファースト パーティとの関係を明らかにせずに、その代理としてサイトを運営している場合、ソーシャル エンジニアリングとして報告される可能性があります。たとえば、慈善サイトを運営するファースト パーティが、そのサイトで募った寄付金を処理するためにサードパーティの寄付管理サイトを利用している場合、寄付管理サイトでは、慈善サイトの代理プラットフォームである旨を明示する必要があります。明示されていない場合、ソーシャル エンジニアリングと見なされる可能性があります。
ソーシャル エンジニアリングに利用され続けているページでは、ユーザーを保護するため、Google セーフ ブラウジングが事前に警告を表示します。
次の場合、ウェブページはソーシャル エンジニアリングと見なされます。
- 信頼できるもの(ユーザーのデバイスやブラウザ、ウェブサイト自体など)の動作やデザインを模倣している
- 信頼できる相手に対してのみ行うような行為(パスワードの共有、テクニカル サポートへの電話、ソフトウェアのダウンロードなど)に、ユーザーをだまして誘導しようとしている
埋め込まれたソーシャル エンジニアリング コンテンツ
ウェブサイト自体は無害でも、ソーシャル エンジニアリング コンテンツが広告などの形で埋め込まれる場合があります。そのような場合はホストページのポリシーに違反します。
埋め込まれたソーシャル エンジニアリング コンテンツの中には、ホストページ上でユーザーに表示されるタイプもあります(例を参照)。また、ホストサイト上の広告ではなく、ポップアップやポップアンダーなどを駆使したリダイレクト手法で不正サイトに誘導する手口もあります。いずれにせよ、ソーシャル エンジニアリング コンテンツが埋め込まれている場合はホストページのポリシーに違反します。
気付かないうちに攻撃に利用されている場合
ソーシャル エンジニアリング コンテンツは、ページ内のリソース(画像、他のサードパーティ コンポーネント、広告など)に埋め込まれ、望ましくないソフトウェアのダウンロードなどに訪問者を誘い込む場合があります。
また、無害なサイトにハッカーが侵入し、ソーシャル エンジニアリング コンテンツを埋め込む場合もあります。そうしたハッカーは、主にユーザーからクレジット カード番号などの個人情報を不正に引き出す目的で、サイトのコンテンツを改ざんしたり、サイトにページを追加したりします。Search Console の [セキュリティの問題] レポートを開くと、自分のサイトからソーシャル エンジニアリング コンテンツが検出されていないか確認できます。
サイトがハッキングされたと思われる場合は、ハッキングされたサイトに関するヘルプをご覧ください。
ソーシャル エンジニアリングの例
偽のコンテンツの例
ソーシャル エンジニアリングと見なされるページの例を以下に示します。
虚偽の広告の例
広告に埋め込まれた虚偽のコンテンツの例を以下に示します。このような広告は、広告ではなくページのインターフェースの一部であるかのように表示されます。
問題の解決
運営しているサイトが「ソーシャル エンジニアリング(偽のコンテンツ)を含む」と報告された場合、そのような振る舞いがサイトで発生していないかどうか確認したうえで、次の手順を踏んでください。
-
Search Console で確認します。
- Search Console で自分がサイトの所有者であること、かつ不審な所有者が新しく追加されていないことを確認します。
-
[セキュリティの問題] レポートで、サイトから偽のコンテンツ(レポート上ではソーシャル エンジニアリングと同義)が検出されていないか確認します。問題が検出された URL のサンプルがレポートに記載されている場合は、そのいくつかの URL にアクセスしてみてください。その際は、ウェブサイトが置かれているネットワークの外部にあるパソコンを使用してください(巧妙なハッカーは、訪問者がウェブサイトの所有者であると判断した場合に、攻撃を隠すことがあります)。
問題が検出された URL のサンプルがレポートに記載されておらず、サイトにソーシャル エンジニアリング(偽のコンテンツ)が含まれていないと確信できる場合は、[セキュリティ問題] レポートでセキュリティ審査をリクエストしてください。
- 偽のコンテンツを削除します。サイトのどのページにも偽のコンテンツが含まれていないことを確認します。セーフ ブラウジングで誤って不正なサイトとして分類されているウェブページがある場合は、ご報告ください。
-
サイトに含まれるサードパーティのリソースを確認します。サイトのページ上にあるサードパーティの埋め込みリソース(広告や画像など)が偽物でないことを確認してください。
- 広告ネットワークの場合、サイトのページ上で広告をローテーション表示していることがあります。そのため、ページを数回更新しなければソーシャル エンジニアリング広告が表示されない場合があります。
- 広告によっては、モバイル デバイスとパソコンで表示が異なります。URL 検査ツールを使用すると、モバイル表示とパソコン表示の両方からサイトを確認できます。
- なんらかのサードパーティ サービス(決済サービスなど)をサイト内で利用している場合は、サードパーティ サービスに関するガイドラインに沿って対応してください。
- 再審査をリクエストします。サイトからソーシャル エンジニアリング コンテンツをすべて削除したら、[セキュリティの問題] レポートでセキュリティ審査をリクエストしてください。再審査の完了には数日かかる場合があります。
サードパーティ サービスに関するガイドライン
サイトでサードパーティ サービスを使用する際にソーシャル エンジニアリングと間違われないようにするためには、次の条件を満たすことをおすすめします。
- サードパーティのサイトでは、ユーザーがサイトの運営者を理解できるよう、すべてのページにサードパーティのブランドをはっきりと記載する必要があります。たとえば、ページの上部にサードパーティのブランドを表示します。
- ファースト パーティのブランドが記載されているすべてのページに、ファースト パーティとサードパーティの関係を明示します。また、詳細ページへのリンクを含めます。たとえば、次のように記載します。
このサービスは、Example.charities.com の代理として Example.com が提供しています。詳細
ユーザビリティの良否は、今現在閲覧しているサイトをすぐに把握できるか、ファースト パーティとサードパーティの関係をどこでも理解できるかの 2 点に左右されます。
Search Console を使用していて、サイトでセキュリティの問題が継続して発生する場合や、問題を解決できない場合は、Google にお知らせください。