この記事は 2016 年 2 月 3 日に Google Online Security Blog に投稿された記事「No More Deceptive Download Buttons」の翻訳です。昨年の
12 月のブログ投稿*で、セーフ ブラウジングの保護機能がソーシャル エンジニアリング攻撃に対応したことをお知らせしました。ソーシャル エンジニアリングとは、ユーザーを欺いて危険な操作を行わせる攻撃のことで、たとえば
望ましくないソフトウェアをインストールしたり、
個人情報(パスワード、電話番号、クレジット カード番号など)を盗み取ったりします。ソーシャル エンジニアリングの例としてよく見かけるのは、不正なダウンロード ボタンや、「システムの更新が必要です」といった嘘のメッセージを表示する画像広告です。今回、セーフ ブラウジングの保護機能を拡張したことで、ソーシャル エンジニアリング広告のような不正な埋め込みコンテンツを検出できるようになりました。
12 月に発表したソーシャル エンジニアリング ポリシーに基づき、ウェブページに埋め込まれているコンテンツ(広告など)は、以下に該当する場合にソーシャル エンジニアリングと見なされます。
- 信頼できるもの(ユーザーの端末やブラウザ、ウェブサイト自体など)を装っている、またはそのような印象を与えようとしている。
- ユーザーを欺いて、信頼できるものに対してのみ行う操作(パスワードの共有、テクニカル サポートへの電話など)を行わせようとする。
ここで、広告として表示される不正なコンテンツの例をいくつかご紹介しましょう。
この画像は、「ソフトウェアを更新する必要がある」とユーザーを欺いて [Update] ボタンをクリックさせようとしています。
この画像は、FLV ソフトウェアのダイアログを模倣したもので、実際にこの FLV ソフトウェアから表示されたものではありません。
このボタンはサイトの雰囲気を模倣して作られており、あたかもそのサイトのコンテンツ(テレビ番組、スポーツの動画ストリーミングなど)を操作できるような印象を与えます。ページに馴染んでいて見分けがつかないこともあります。
Google にとって、望ましくないソフトウェアやソーシャル エンジニアリングとの戦いはまだ始まったばかりです。今後も
セーフ ブラウジングの保護機能を改良し、ユーザーの皆さんに安心してご利用いただけるようにしたいと考えています。
ウェブサイトへの影響は?ウェブサイトにソーシャル エンジニアリング コンテンツが頻繁に表示される場合は、ユーザーがサイトにアクセスしたときに Google セーフ ブラウジングからの警告が表示されることがあります。運営しているサイトが、ソーシャル エンジニアリング コンテンツを含んでいると報告された場合は、Search Console からトラブルシューティングを実施してください。詳しくは、
ウェブマスター向けのソーシャル エンジニアリングに関するヘルプ記事をご覧ください。
Posted by Lucas Ballard, Safe Browsing Team
Original version:
Google Online Security Blog: No More Deceptive Download Buttons 
このページは、外部サイト Google ウェブマスター向け公式ブログ の情報をRSSフィード経由で取得して表示しているため、記事の一部分しか表示されていなかったり、画像などが正しく表示されなかったり、オリジナル記事が意図したデザインと異なっていたりする場合があります。
Facebookいいね!の多い記事
Twitterで言及の多い記事
はてなブックマーク人気記事