Googleは今年から‘ソーシャルエンジニアリング’的な広告をホストするWebサイトも警告の対象にする

[アップデート: Googleはこのニュースを今日（米国時間4/12）、同社の企業ブログに載せたが、しかしこれは、今年の比較的早い時期にも発表されている。これがエラーなのか、それとも最初の発表以来、何かが変わったのか、今Googleに問い合わせている。]

Googleによると、同社はその”Safe Browsing”イニシアチブによって、Webサーファーたちを欺瞞的なオンラインコンテンツから守る努力を拡大している。この検索の巨大企業は今では、Googleが“ソーシャルエンジニアリング”広告と呼んでいるWebサイトにユーザーが遭遇したとき、そのことを告げて警報を発している。それらは、ユーザーに、Webブラウザーの通知やソフトウェアのアップデート、PCのエラーメッセージ、通常のWebサイトなど、信頼できるメッセージやコンテンツを受け取ったと思わせてしまう広告のことだ。

Googleはさらに続けて、こういうタイプの広告を載せたり、ホスティングしているサイトはGoogleがマークし、ビジターにそのWebサイトやWebページを開かずにすぐに去るよう、警告すると言っている。

上図のようなGoogleの”Safe Browsing”の警告メッセージを前に見たことのある人なら、Googleは“いい仕事してますね”と思っただろう。問題のページをユーザーのブラウザー画面にすなおに開く代わりに、赤いエラーページを出す。そして、ここから先へは行かない方がよい、と通告する。メッセージはユーザーが”Back to safety”ボタンをクリックするよう促すが、その疑わしいサイトやページを完全にブロックするのではなく、どうしても開きたい人には開かせる。

過去にはGoogleは、マルウェアをホストしたり、フィッシング攻撃に手を染めているサイトでは警報メッセージを出して、ユーザーのトラフィックを遮断していた。

昨年11月にGoogleは、Safe Browsing事業を拡張して、これからはソーシャルエンジニアリングの“攻撃”からもユーザーを守る、と発表した。ユーザーを騙して悪質なソフトウェアをインストールさせたり、個人情報を開示させたりする「騙しのサイト」に関しても警告する、というのだ。そして今日の発表では、その保護原則を広告に対しても適用することになった。

[このUpdateボタンをユーザーがうっかり押すと…]

こんな広告（そう！広告です！）は、誰もがおなじみだろう。今ユーザーが使っているソフトウェアは古いからアップデートしろ、と言いつつ実は、良からぬプログラムをインストールさせようとしているのだ。

下図のように、”Download”ボタンや”Play”ボタンを押させようとする広告もある。これは健全なビデオのように見せかけて、実は著作権侵犯など不法なビデオサービスにユーザーを誘おうとしている。最近はテレビよりもインターネット、というメディア視聴者が増えているから、そういう人たちをカモにするサイトも増殖しているのだ。

また下図のような広告や埋め込みは、上級のWebユーザーでも見抜けないことがある。Webサイトの、そのほかのコンテンツと同じようなデザインを、使っているからだ。まるで、そのWebサイトの機能の一部のような外見をしてるが、実は外部から挿入された悪質広告なのだ。

Googleは今では、以上のような策略を使っているサイトや、そんな広告を載せているサイトに対して警告を表示する。どれも一見、信頼できるメッセージのような外見だが、実際にはソーシャルエンジニアリングのコンテンツだ。パスワードの再入力や、技術サポートの呼び出しを誘うメッセージも、つい信じてしまいがちだ。

Googleがこれらの悪質な広告をマークし、警告する場合、若干の許容幅がある。目標はあくまでも、頻繁に欺瞞的広告を出すサイトとの戦いであり、たまたま広告ネットワークがそんな悪質な広告を載せてしまった場合は罰しない。Googleが警戒するのは、ビジターがしょっちゅうソーシャルエンジニアリングなコンテンツに出会ってしまうようなサイトだ。

*アップデート: Googleによると、このコンテンツが今回、再掲載されてしまった経緯（いきさつ）は不明であり、現在調査中である。このニュースは、以前にも発表されている。

〔ソーシャルエンジニアリングとは、人間の社会的能力（とりわけ言葉…巧みな騙し言葉）を駆使した詐欺行為、詐欺技術のこと（コンピュータ技術ではなく！）。まるで当たり前のことのように何かをクリックさせてしまう（実は）悪質なダイアログは、その典型的な産物。〕

[原文へ]
（翻訳：iwatani(a.k.a. hiwa））