トロイの木馬型であるダウンローダーは、セキュリティ対
SEOポイズニングとは、サイバー犯罪者が検索エンジン最適化技術を悪用して、検索結果の上位に偽のウェブサイトを表示させる手法です。この方法では、検索者を欺いて偽サイトへ誘導し、そこは見た目が正規のサイトに似ています。訪問者が自分のアカウント情報を入力すれば、サイバー犯罪者はそれを盗み、その情報を使って様々なアカウントに不正アクセスすることがあります。このため、パスワードの使い回しは非常にリスクが高い行為です。
インターネットユーザーであれば誰もがSEOポイズニングによるフィッシング詐欺の被害に遭う可能性があります。このため、このSEOポイズニングによる詐欺の仕組みを理解し、自己防衛のための対策を身につけることが極めて重要なので紹介します。
SEOポイズニングとは?
検索エンジンは、インターネット上の情報を簡単に探せるようにする便利なツールです。代表的な検索エンジンには、Google、Yahoo!、DuckDuckGo、Bingなどがあります。多くの人々が日々これらの検索エンジンを使っているため、サイバー犯罪者が検索エンジン最適化を利用して多くの人をこの検索エンジンから詐欺に巻き込むのは、よくある手法の一つです。
検索エンジンの最適化とは?
検索エンジンの最適化(SEO)は、検索エンジン上でサイトの可視性を向上させるプロセスです。検索エンジンにおけるサイトの認知度が高ければ高いほど、検索者がサイトをクリックし、発見する可能性が高くなります。その結果、サイト訪問者が増加し、顧客やリピーターになる可能性があります。 つまり、SEOポイズニングはこの検索エンジンの最適化で、検索結果の上位に持ってきて信頼を得て、信頼できるサイトに見せかけてユーザーに詐欺を働きかけます。
SEOポイズニングの仕組みとは?
SEOポイズニングの仕組みは、検索エンジンを使った詐欺の手法にあります。何かをインターネットで検索する時、私たちはよく使う検索エンジンに行き、検索ボックスにキーワードを入力します。その後表示される検索結果ページ(SERP)には、さまざまなウェブサイトのリンクが出てきます。
実は、Googleなどの検索エンジンで2ページ目に進む人はわずか0.63%しかいません。これは、ウェブサイトが多くの人に見てもらうためには、検索結果の1ページ目に表示されることが非常に重要であることを意味しています。
サイバー犯罪者はSEO(検索エンジン最適化)を利用して、偽のウェブサイトを検索結果の上位に持ってきます。私たちは検索エンジンが正確で役立つ情報を提供すると信じていますが、この信頼を悪用して、サイバー犯罪者は偽のサイトで私たちを詐欺にかけてこようとします。
SEOポイズニングされた詐欺サイトか見分ける方法や特徴
SEOポイズニングでは、手遅れになるまで偽装されたサイトにいることに気づかないことがあります。しかし、今いるサイトが偽装されたものであることを知らせるいくつかの特徴があります。
SEOポイズニングされた偽サイトの兆候は、次のようなものです。
ポップアップの乱立
ページにアクセスすると、通常のウェブサイトでは見かけない数多くのポップアップ広告や警告が表示され始めます。これらのポップアップは、閉じようとしても次から次へと現れ続けます。
デバイスのオーバーヒート
サイトを閲覧している間、あなたのデバイス(スマートフォンやコンピュータ)が異常に熱くなり始めます。これは、サイトが背後で不正なプロセスを実行している可能性があることを示しています。
デバイスの遅延
同時に、デバイスの反応が鈍くなり、動作が遅くなります。通常のブラウジングでは発生しないようなパフォーマンスの低下が見られます。
文法間違いや誤字脱字が散見される
サイトのコンテンツをよく見ると、文法エラーや誤字脱字が目立ちます。正規のウェブサイトでは、このようなミスは通常修正されているはずです。
URLがおかしい
ブラウザのアドレスバーを見ると、URLが一般的なウェブサイトのものとは異なり、怪しい文字列や不自然なドメイン名が含まれています。
このような兆候は、あなたがSEOポイズニングされた偽のウェブサイトにアクセスしてしまったことを示しています。これらのサイトは、個人情報の窃盗やマルウェアの配布など、悪意のある目的で作られている可能性が高いので、すぐに何もクリックせずにサイトから離れることが重要です。
SEOポイズニングから身を守る対策
ここでは、SEOポイズニングの被害に遭わないための対策についてご紹介します。
検索結果をクリックする前に、URLを再確認する
ネットで何かを検索するとき、表示される検索結果には必ず、移動先のサイトの完全なURL(別称:ウェブサイトアドレス)が表示されます。検索結果に表示されたサイトでも、クリックする前に必ずURLを確認することが重要で、何かおかしいと気づくことがあります。例えば、Chaseのような銀行を装ったサイトがあった場合、なりすましURLはChasee.comのように見えるかもしれません。
サイトのURLをダブルチェックするもう一つの方法は、Google Transparency Reportを利用することです。検索結果を右クリックし、ドロップダウンから「リンクアドレスをコピー」を選択するだけです。コピーしたら、それをツールに貼り付けると、そのサイトが安全かどうかを知らせてくれます。安全でない場合は、ツールに表示されるので、その検索結果をクリックしないようにしましょう。
パスワードマネージャーを利用する
パスワードマネージャーは、パスワードの生成、管理、安全な保管を支援するツールです。パスワードマネージャーを使えば、ユーザーが覚えておかなければならないパスワードはマスターパスワードのみとなります。多くのパスワードマネージャーアプリは、ユーザーがアカウントにシームレスにログインできるように、自動入力機能を備えています。
パスワードマネージャのあまり知られていない利点として、ウェブサイトのアドレスがボルトの記録に保存されているものと一致しない場合、ログイン認証情報を自動入力しないことが挙げられます。これにより、認証情報を入力する手間を省くことができ、アカウントの漏洩を防ぐことができます。
検索結果が安全でないかどうかを知ることができるツールに投資する
検索結果がクリックしても安全かどうかを、URLとページ上のコンテンツに基づいて知らせてくれるツールがあります。その一つがMcAfee WebAdvisorで、クリックしても安全であれば検索結果の横に緑のチェックマークが表示されます。安全でない可能性のあるサイトを検出すると、検索結果の右側に赤旗の警告が表示されます。
SEOポイズニングのサイトにアクセスしてしまった場合の対処法
サイトにアクセスしてログイン情報を入力した後に、SEOポイズニングの被害に遭った偽サイトであることに気づくケースもあります。このような事態に陥った場合、影響を少なくするためにできることをいくつかご紹介します。
ウイルス対策ソフト、マルウェア対策ソフトの起動
検索エンジンは私たちが日常的に使用しているツールであるため、あなたやあなたの知り合いがこの種のフィッシング詐欺の被害に遭う可能性があります。そのような場合は、お使いの端末にウイルス対策ソフトやマルウェア対策ソフトを導入することが最も重要な対策の1つです。なりすましサイトにはマルウェアが含まれている可能性があるため、サイトにアクセスしている間に知らず知らずのうちにインストールされていた可能性のあるものを削除する措置をとることが重要です。
即座にパスワードを変更する
もし偽のサイトに自分のログイン情報を入力してしまったことに気づいたら、できる限り早くそのアカウントのパスワードを変更することが大切です。そうしないと、サイバー犯罪者があなたのアカウントにアクセスし、深刻な被害を引き起こす可能性があります。たとえば、オンラインバンクからお金を盗まれるといったことも考えられます。
パスワードマネージャーを使うと、パスワードの管理や記憶が簡単になります。このツールは、簡単により複雑で強力なパスワードへの変更を手助けしてくれます。
まとめ:SEOポイズニングの被害にあわないよう注意しよう
フィッシング詐欺は、日々巧妙化しており、SEOポイズニングはその典型的な例です。サイバー犯罪者は人々をだまして詐欺に陥れるために、さまざまな方法を駆使しています。
そのため、インターネットを使用する際にはいつも注意深くあることが大切です。
フィッシング詐欺について学ぶことは、安全を確保するための第一歩ですが、実際に詐欺に警戒することも同じくらい重要です。
一般的なフィッシング詐欺の種類と、フィッシング詐欺から身を守る方法について詳しく学びましょう。
現在、Keeperのパスワードマネージャーは無料30日間トライアル体験を開催しているので、この機会に試してみてはいかがでしょうか。