「当選詐欺フィッシング」は不正広告から!? 増えてきたポップアップ表示される当選詐欺の対応
筆者は「親愛なChrome(ママ)ユーザー様」で始まるフィッシングサイトを当ててしまった経験があるが、トレンドマイクロのレポートによると、日本郵便を騙るフィッシングも4月に入って確認されているという。
これは、当選詐欺フィッシングと呼ばれている。
店頭などで「景品に当たりました」などと言って商品を売り付けようとする「当選詐欺」のオンライン版だ。
「iPhone7が当たる権利をあげる」といって、アンケートに答えさせて、その誘導先サイトで個人情報を入力させる。目的はクレジットカード番号などの情報の取得とみられる。
突然、通知音とともに表示されるウィンドウにギョッとし、何か怪しいURLを踏んだかと思ってしまったが、どうもそうではないようだ。
◎アドネットワークと不正広告
先のトレンドマイクロのレポートでは、当選詐欺フィッシングの誘導経路の1つとして、サイトの広告枠に表示される不正広告をあげている。
どうしてそんなことが起きるのだろうか?
ちょっとアドネットワークの仕組みを振り返ってみよう。
インターネットの広告は「アドネットワーク」と呼ばれる仕組みで自動配信される。
広告を出したい側(広告主)は広告原稿をアドサーバに入稿する。
アドサーバ側は、それを最適なメディアによりいいタイミングで配信する。
複数の広告枠をネットワーク化することによって、最適化した広告配信を行おうというサービスだ。
どうするかというと、基本的にブラウザのクッキー情報を元に、そのページを見ている人が興味を持つであろう広告が配信される。それによって、広告を表示される人にも、広告を見て興味を持ってもらいたい広告主にもメリットがあるというもの。
広告主にとっては、広告がどこにいつ掲載されるかを完全にコントロールできないというデメリットはあるが、
視聴する側にとっては、検索したキーワード、直前や今みているコンテンツに関連がある広告が表示されるメリットもあり、便利だ(もちろん、それが苦手という人もいるが)。
現在のWebサイトは、描き上げた1枚の絵を表示するのではなく、Webサイトの部分ごとにサーバから情報を取ってきて表示される。ここは配信サーバから広告を入れましょう、というように、さまざまな場所から送られてくる情報を使ってページを構成して表示している。
したがって、この仕組みのすきを突いて不正なコードを実行されてしまうという危険性は、広告枠に限らず、存在する。
実際に自分のブラウザが今、どこにアクセスして、どこの情報を表示しているのか、完全に把握することは難しい。
もちろんソースコードを表示する機能などを使えば情報の出所となるURLを見ることはできるが、実際に常時行うのは現実的ではない。
結果として、紛れ込んでくる不正な広告を踏んで(クリックして)しまえば、フィッシングサイトが表示されてしまうということなのだ。
◎速やかにウィンドウを閉じよう
こうした「踏んだ覚えのないフィッシングサイト」が出た際の対策は、従来のように何もせずに閉じること、に尽きる。
こちらが何もしていないのに警告音が出ると不安になってしまうが、まず無視してウィンドウを閉じることだ。
ただ、勝手に表示されてしまうこと自体は今のままでは止められない。
アドネットワークで不正広告が表示されてしまうと、ユーザー側はその表示に対しては防御できないのだ。
表示したくないなら、ブラウザのポップアップ表示機能をオフにする方法がある。
だが、この場合、ポップアップウィンドウを使った操作が必要なサービスの利用時に困ってしまうことになる。
また、今のネットサービスの多くは広告でマネタイズする仕組みなので、広告を全部ブロックするというのも問題はあるだろう。マネタイズができなければ使っているサービス自体も維持できなくなるわけで、それはサービス運営側にも利用するユーザー側にも何の益もない。
このほかフィッシング対策としては、Google Chromeなど、フィッシングサイトにアクセスしようとすると警告を出す(アクセスできない)というような機能を搭載するものもあるが、完全に抑止できるわけではない。
現状は、
・エンドユーザー側が冷静に判断する
・リテラシーを持って接する
という対策になってしまう。
何か、抜本的な解決策が欲しいところだ。
大内孝子
