●目的はクレジットカード情報など
偽の画面で個人情報やカード情報、オンラインバンキングの画面を装って口座番号や暗証番号などを抜き取るサイバー攻撃は、一般にフィッシング詐欺と呼ばれている。厳密な定義では、「銀行などを詐称した偽のメールを送り付け、偽のログイン画面などのサイトに誘導して個人情報などを抜き取る」攻撃とされる。
誘導するサイトのURLは、正規サイトのURLに似た綴り、似たドメイン名を利用する。最近のフィッシングサイトは、本物の画面と見分けがつかないくらい精巧に作らている。
今回のような攻撃は、いきなり偽の画面が自動的に表示されるので、フィッシング詐欺とは区別され「当選詐欺」などと呼ばれている。ただし、目的はフィッシングとほぼ同じといってよい(各種アカウント情報の窃取)。
●なぜ当選詐欺ページが表示されてしまうのか
被害者は、普通に正規のニュースサイトなどを見ていたのに、どうして詐欺サイトのページが表示されてしまうのだろうか。そのPCやスマートフォンがウイルスなどに感染していたのだろうか。
じつは、これは広告を表示するしくみが悪用されている。ニュースサイトなど広告が表示されるサイトは、通常広告表示部分は、別の広告代理店などが運営する広告サーバーの内容を取り込む作りになっている。メディアサイトは広告表示の枠だけ用意しておいて、そこに契約した広告サーバーのURLを指定する。
従来、表示される広告は代理店経由で個別に契約した広告主のコンテンツだったが、近年、アドネットワークを利用した広告が主流になっている。アドネットワークの代理店は、個人商店から企業までさまざまな広告主に対して、オンラインで申し込みを受ける。それを独自のアルゴリズムで最適と思われるメディアに自動的に表示させる。
●アドネットワークのしくみを悪用
一連の処理は、ほぼオンラインで完結するので、広告主はどのサイトに表示されるかはわからない。代理店もどの広告がどのメディアに表示されるかは事前に予想・調整はできない。メディア側もどんなクライアントの広告が表示されるかわからない。
自動配信のアルゴリズムが優秀なら、クリックされる率は高くなるが、半面、(当選詐欺のような)悪意をもった広告、不正な広告が入りやすい。アドネットワークのしくみにマルウェアや不正広告をチェックするしくみがあればいいのだが、今回のような攻撃サイトをいきなり表示させるような広告のチェックを行っているところは少ない(取り組みは始まっている)。
ちなみに、今回の当選詐欺は、表示される広告内に詐欺サイトに移動するJavaScriptを埋め込んでいたと思われる。JavaScriptは通常の広告にも使われるものだ。
●当選詐欺は業界の対策が不可欠
当選詐欺を防ぐにはどうしたらいいだろうか。まず、一義的にはアドネットワークの運営企業や代理店が、低品質な広告や不正な広告、詐欺広告などをチェックするしくみを強化することにつきる。広告主が詐欺師や犯罪組織ではなくても、広告サーバーに不正侵入を許せば当選詐欺ページを広告として混入または、正規広告を改ざんすることも不可能ではない。サイバー攻撃対策も必要だ。
また、メディア側も悪質な広告や当選詐欺について拒否する姿勢を貫くことも必要だ。「アドネットワークだから制御できない」という理由は通用しない。
一般ユーザーは、あやしいページに注意する、このようなページ切り替え・ポップアップが表示されたらなにもせず閉じる(×ボタンを押す、ブラウザを閉じる)以外、これといった対策はとれない。
攻撃者が、正規の広告システムを悪用してくるので、ユーザー側の対策で発生を防ぐことは難しい。どうしても防ぎたいなら、ブラウザの「設定」画面で「JavaScriptを無効」にするくらいだろう。
●「体験談」は信用しないくらいの注意が必要
しかし、注意すべきポイントはある。まず、ネット上では、こちらから申し込んだり、認識していない連絡、とくにサプライズ系のうまい話は、喜んでもいったん考える癖をつけることだ。この場合、「Googleのような大企業が、今回のような安っぽいサプライズキャンペーンをやるだろうか」と少しでも考えられると、例えば画面にあるようにグーグルのロゴの形が少し違うのでは? という点に気が付くかもしれない。また、いかにもグーグルサービスのような画面だが、歯車アイコンやその他のアイコンにリンクがなく、ただの画像であることに気が付くかもしれない。
この画面で、いちばん疑うべきは当選者の体験談だ。じつは、利用者の体験談など「誰かの体験談」は要注意だ。広告での体験談はもちろん、とくに注意したいのは、医療や民間療法、健康食品、あとは投資関係だ。データや実験で証拠を示せないもの、相手を騙したいとき「体験談」は非常に便利であやしい業者・団体ほど多用する。
