日本の中枢である省庁をはじめ、あらゆる自治体、様々な企業の公式サイトとそっくりな膨大な数の「偽サイト」が見つかり、各方面から注意が呼びかけられている。

「偽サイト」は首相官邸や県庁・市役所などの公的機関から、自動車・電機・食品メーカー、運輸、人材派遣、金融、報道機関など千件以上に及ぶと見られ、トップページだけではなく内部コンテンツも見分けることができないほどそっくりに作られており、動画を再生できるものまであった。

神戸市の公式サイトの例を見てみても本当にそっくりだが、自治体や企業はこれら「偽サイト」にアクセスしないようネットで注意を呼びかけ、様々なニュースサイトが報道しているが、その内容までもが「偽サイト」に掲載されている。

(参考記事:神戸市の「偽サイト」出現…アクセスしないよう市が注意呼び掛け
 

左が本物の神戸市公式サイト

これらの「偽サイト」は当然、本物とはURLが全く異なる。
さらにURLの末尾に付く、国別に割り振られた文字は「.tk(ニュージーランド領トケラウ)」「.ml(マリ)」「.ga(ガボン)」「.cf(中央アフリカ)」「.gq(赤道ギニア)」などになっている。安全のためにはもちろんアクセスしない事が大切だが、企業名などで普通に検索したのでは「偽サイト」はヒットせず、注意を呼び掛けているページでもリンクを張らないよう工夫されている。

検索サイトでも簡単に出ない…という事は、この膨大な「偽サイト」は一体何のために、誰が作ったのだろうか?またどんな危険が考えられ、どう対策すればいいのか?
ITジャーナリストの三上洋さんに聞いてみた。
 

こんなに大規模な「偽サイト」の発生は前代未聞

――これら「偽サイト」の全体像は?

こんなに大規模な「偽サイト」の発生というのは前代未聞です。今回の「偽サイト」を調査した方によると、2月中旬から設置されていたそうですが、これだけの「偽サイト」が見つかったのは初めてでしょう。

日本の大手サイトは軒並み全部「偽サイト」が作られたという状態です。アクセス数の多いサイトを上からやっているような感じです。もしくは無作為にサイトのデータを次々に盗っているのかもしれません。
 

――一体その目的は?

はっきり言って全然わかりません。謎です。

もしかしたら、ショートメールやメール攻撃の基盤として、この「偽サイト」を使うのかもしれません。メール攻撃をするときに「偽サイト」を経由させるのか、もしくは例えばメールをばらまいて「偽サイト」に誘導し、何かしらのメールを送信した人に、今度は悪意のあるファイルを添付したメールを送るとか。つまり、この「偽サイト」を信じてメールを送ってくるような人に、添付ファイルを返信してウイルスに感染させることを狙っているのかなと思います。

あとは、「偽サイト」を開くと強制的にダウンロードを行い、ウイルスに感染させるというパターンもあります。ただし、この方法はすぐに対策されるので効率が悪く、今ではメールでの攻撃が多くなっています。

他には、「偽サイト」でクレジットカードや個人情報を入力させて、それを奪うということもあります。ただし、多くの「偽サイト」がショッピングと無関係なのでクレジットカードではなさそうです。また個人の住所氏名などを入手してもお金にはなりにくいので、個人情報収集が目的という線は弱いかもしれません。
 

――一体どんな方法で「偽サイト」を作っているのか?

一番濃厚なのはプロキシという方法で、元のサイトを中継しているのでしょう。この方法だと、完全にリアルタイムではないですが、数時間から半日ぐらい遅れの状態が表示されます。例えばニュースサイトや・テレビ局のサイトでは半日ぐらい前の情報が表示され、その後どんどん更新されていくんですね。どこかにサーバを置いてあるわけではなく実際にあるサイトを中継している感じです。これが一番濃厚ですけど、もちろんどこかに完全なコピーを作っている可能性もあります。
 

左側が本物の首相官邸ホームページ 右の偽サイトは情報が古い

今回の「偽サイト」で気をつけることは?

――「偽サイト」を見つけたら対策は?

企業や自治体がこうした「偽サイト」を見つけたら、日本のセキュリティの団体であるJPCERT/CCに申請して「テイクダウン(該当サーバを閉鎖すること)」の依頼をしてください。すでに「偽サイト」を表示する前に警告を出す対策がとられているところもあります。しかし個別企業の「偽サイト」が対策されるまでは、まだ時間がかかると思うので、担当の方は「テイクダウン」を要求してください。
 

――個人の場合は?

今のところ直接関係ないのですが、今後ショートメールやメールを使った攻撃が行われる可能性があるのでご注意いただきたい。例えば「○○からの警告メールです」などのメールがくる場合がありますが、そこに書かれたリンクは押さないでください。本物か偽物か判断する必要はありません。本物であってもリンクは押さないという気持ちでいてください。それで不安な場合は、検索して本物のサイトに行ってください。
 

――本物か偽物かを見抜く方法が重要なのでは?

本物か偽物かを見抜く方法は一定のリテラシーが必要となってくるので、あらゆる人向けとはいえないでしょう。でも今回の場合は、「.tk」「.ml」「.ga」「.cf」「.gq」、この5つのドメインを使っている場合は怪しいと考えていいでしょう。しかし「.jp」や「.co.jp」なら安心というわけではありません。これらを使う「偽サイト」も非常に多いので注意が必要です。
 

――犯人はどんな人?集団なのか個人なのか?

痕跡が何もないので何とも言えないのですが、文字コードの切り替えがうまくいっていない部分が見つかっています。日本でしか通用しない文字コードを使っているページの「偽サイト」で文字化けが起きているのです。ですので、もしかしたら日本語の扱いに慣れていない人がかかわっているのかもしれません。
 

三上洋さん


目的も誰が作ったのかも分からないところが、また不気味…。
「偽サイト」が今後何に使われるのかは全くの未知数だが、大量の偽サイトが出現していることは確かなのでどうかご注意していただきたい。