サイトの丸パクリ対策の検討 | 特選街情報 NX-Station Blog
AmebaAmeba 20th Anniv.ホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

特選街情報 NX-Station Blog

特選街情報 NX-Station Blogは30年以上の製品選定の経験に基いてパソコン、デジモノ、家電の購入の経験、そのほか日々の記録のブログです。製品についての所感、評価、クーポン&特価情報やスペックの比較をしています。

サイトの丸パクリ対策の検討

Webサービス技術者、情報セキュリティ技術者を悩ませる事態が進行中です。ネットで有名になるとコンテンツの登用が増えます。

 

Webコンテンツは提供側が用意したWebサーバーから閲覧者のWebブラウザに電子データ(HTMLやJavaScript、動画像)として送信して見せています。このプロセスによってコンテンツは閲覧者に取得・保存される可能性が常にあります。攻撃者は取得した電子データを不正に利用して、偽のサイトが設置されるのです。

 

機械的に丸ごとデータをwgetして使うようになっていて、不正コンテンツの削除対応が緩いホスティングサービスなどにそのまま設置されています。収益化の手口として金融機関やショッピングサイトなどのECサイトであれば個人情報、口座情報やクレジットカードの決済情報を盗ります。

 

コンテンツの登用は著作権に関係する文脈で語られることが多いのですが、情報セキュリティ上は「なりすまし」や「フィッシング」との関係が深いです。サイトの丸パクリによってサイトの閲覧者が被害に遭うことになるため、サイトの丸パクリを発見したら検索サービスに不正なサイトとして速やかに通報するべきです。放置しておくと増殖していきます。

 

サイトの丸パクリ対策として、根本対策は不正にコンテンツを取得されないようにすることです。しかし、前述したように閲覧者にコンテンツのデータが渡るのを防ぐことができません。そこで、丸パクリ防止の実装、つまりHTMLのタグを難読化する、画像等をセッション限り有効なプロトコルで応答するという方法があります。これはコンテンツ制作プロセスとWebサーバーの変更を伴うのですぐには難しいです。簡易的には画像等にロゴやドメイン(URL)を透かしとして入れることで閲覧者の真偽判断を助ける方法などが考えられます。

 

次善のサイトの丸パクリ対策として、正規サイト以外に閲覧者が行かないようにすることです。検索上位に並ぶようにSEO対策し、最高値で広告出稿もしておきます。閲覧者が不正サイトに流れないようにできれば丸パクリされたコンテンツを見る人はいないので攻撃を無駄にできます。

 

その先の対策としては検索エンジンやメールマガジンからサイト訪問をさせるのではなく、閲覧者の行動を変化させる方向に誘導していくのも有効です。ブラウザのお気に入りにブックマークを追加してもらう、スマホのホーム画面にWebサイトのブランドアイコン並ぶようにしてプログレッシブウェブアプリ(PWA:Progressive web apps)やネイティブアプリを介して利用してもらうという方法が考えられます。

 

ブランドの知名度、利用シーンによって最適解が異なるのでユースケースを考慮して、それぞれのサイトに合わせた対応が必要になってくるのです。今のところオンラインサービスでは無機質で誰もが同じマイページが表示されることが多いのですが、個人の趣味嗜好に合わせたマイページを用意すると顧客満足度を高めながらフィッシングの被害を防げると思います。

 

Web検索やeメール、DM(ダイレクトメッセージ)からWebサービスを利用するよりも、あらかじめ設定しておいた金融機関、銀行やクレジットカード会社の決済アプリを利用するとフィッシングの被害に遭いにくくなります。一般向けには8月には改めて注意喚起が行われたので取引停止の偽警告が話題※です。金融機関の「公式HP」「公式アプリ」から正しい情報を確認するように案内が行われています。ただし、この対策が進むと攻撃者は直接ブランドサイトを狙うのではなく新たなターゲットを見つけるために周辺系に攻撃が広がりそうです。

 

フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について(注意喚起) [金融庁、警察庁] 

令和5年4月にインターネットバンキングに係る不正送金事犯による被害急増に関する注意喚起を実施するとともに、被害金融機関と連携し対策を講じているものの、その後も被害は拡大し続け、8月4日時点において、令和5年上半期における被害件数は、過去最多の 2,322 件、被害額も約 30.0 億円となっています。

 

 

 

オンライン上、とりわけWebサービスでは誰でも非常にフラットで平等な状態です。サービス提供する側も利用する側もオンラインでアイデンティティー、自己同一性、真偽を確かにする技術がとりわけ重要です。

 

X/Twitter、Facebookなどでも有名人になりすますケースが問題になっていますが、Webサイト自体も偽物が大量に発生しています。しかも偽Webサイトは自動生成していて、存在期間がとてもするため短いためURLやドメインをブロックリストに追加しても効果がほとんどありません。フィッシングサイトに騙されないようにするための詐欺防御ツールから回避するための動きと見られています。

 

サイトの丸パクリ対策が困難であることが分かったので、閲覧者側としては金融取引用に専用PCとスマホを用意して自衛するしかなさそうです。端末を専用化するために、使用するアカウントは他とは別にしてブラウザはお気に入り以外にアクセスしない、メールやオフィスアプリも使わないことを徹底するようにします。

 

もしもスマホ1台に人生すべての取引も賄おうとしていたらそれはハイリスクです。スマホの盗難、乗っ取り、故障などの事態が生じると詰んでしまいます。