国内の自治体や企業の偽サイトが大量に見つかった。首相官邸や横浜市、神戸市、名古屋市など偽サイトをつくられた組織などは2020年5月14日、偽サイトにアクセスしないよう注意を呼びかけた(図1)。
どの偽サイトもオリジナルをそのまま模倣した「コピーサイト」だった。報道機関の偽サイトには、偽サイトの出現を報じるニュースまで掲載されていた。
一連の偽サイトは、特定のコンテンツデリバリーサービスにホストされており、同一の攻撃者もしくはグループによるものではないかと指摘する声がある。また対象となったのは国内だけでなく、海外の組織や企業の偽サイトも見つかっている。
「.cf」や「.gq」などを悪用
今回見つかった偽サイトのURLを見ると、特定の国別コードトップレベルドメイン(ccTLD)が多かった。首相官邸からの注意喚起でも触れている。
ccTLDとは、国際標準化機構(ISO)によって決められた「国コード」という符号(コード)に基づいて割り当てられるドメインだ。日本なら「.jp」である。多くのccTLDは、そのドメインを管理する機関(レジストリ)が一定の条件を設けて利用できる組織や企業を制限している。
今回使われたのは、中央アフリカの「.cf」、赤道ギニアの「.gq」、マリの「.ml」、ニュージーランド領トケラウの「.tk」などだ(図2)。
これらのccTLDは取得の条件が緩かったり、管理されていなかったりするため、誰でもこのccTLDを使ったドメインを取得しやすい。このため、フィッシング詐欺などの犯罪によく利用される。
対策はドメインの確認
偽サイトはGoogleやBingなどの検索サービスの結果に、正規サイトに混じって表示されることが多い。今回見つかった首相官邸や自治体、企業の偽サイトも正規サイトと同じように検索結果に表示された。
国内の組織や企業が.cfや.gqといった見覚えのないccTLDを使うことはほとんどない。これらを使っていればまず偽サイトだと思ってよい。
ドメインの確認だけで偽サイトへのアクセスを必ず止められるわけではない。ただ「検索結果をクリックするときにはドメインを確認する」という習慣をつければ、偽ドメインへのアクセス被害を減らせるだろう。
