偽サイト発生事案についての解説

政府や報道機関等からも注意喚起が出されていますが、省庁や自治体、民間企業等のサイトをコピーしたような偽サイトが多数発生したことが確認されました。弊社の調査では2020年2月～5月頃に発生し、国内外の約1,000以上のサイトのコピーが行われていた可能性を確認しています。

今回観測した偽サイトについては、URLのTLD（トップレベルドメイン）に、海外のサービスにおいて無料で取得可能なドメイン .gq/.cf/.tk/.ga/.ml が利用されていました。

偽サイトは、ある時点の正規のサイトのコンテンツをそのままコピーしたのではなく、利用者が偽サイトのURLにアクセスしたタイミングで、犯人の用意したサーバがリバースプロキシのような形で正規サイトへ代理アクセスし、コンテンツを取得後、HTML内のリンクなど一部コンテンツを変更し、利用者へ応答していたものと思われます。

偽サイトが作成された理由や目的などは不明で、実被害が確認されないまま、2020年5月20日現在は多くの偽サイトが閉鎖されています。しかしながら、今後、再発した場合はマルウェアの配送やフィッシングサイトとして利用される可能性があり、注意が必要です。

なお、今回の事案では様々な組織や企業を騙る偽サイトが多数発生し、社会的にも大きな注目を浴びることとなりました。しかしながら、より明確な悪意を持って作成される偽サイトは、今回に限らず定常的に発生している状況です。

その際、攻撃者はターゲットとなる利用者層を入念に検討し、その時節に合う形で偽サイトキャンペーンを仕掛けて来るケースが少なくありません。最近であれば、新型コロナウィルス関連の情報を案内する機関を騙りフィッシングメール、フィッシングサイトを作成するケースが多数確認されていますし、またクリスマスの時期にショッピングサイトを騙り作成するようなケースがしばしば見られます。

特に、5月の大量発生事案でも悪用された特定 TLD.gq/.cf/.tk/.ga/.ml については、従来よりマルウェアのC&C通信で利用されたり、偽ショッピングサイトのドメインで利用される等、サイバー攻撃の温床となるケースが確認されていました。

次項では偽サイト発生時の対策として、自社ユーザが不正サイトへアクセスすることを防ぐ方法と、Webサイト管理者向けに自社サイトを騙るサイトを調査する方法を記載いたします。

最後に

繰り返しとはなりますが、企業や組織を第三者が不正に騙るサイトは日々発生している状況で、今後もその発生ペースは増していくと考えられます。

そのため、今後も継続的に不正サイトから組織・社員を守る取り組みと、自社サイトの利用者を保護するためにも、定常的に偽サイトの発生状況を監視し、迅速に対応を行うことが望ましいと考えます。