「google」を「gogle」と打つだけで終了。アクセスした瞬間にデータが抜かれる仕組みが怖い
セキュリティ企業Infobloxの研究者らが発表したレポートによると、有名サイトに似せたドメインや、期限切れのドメインを悪用した詐欺が急増中。
たった1文字の打ち間違いで、本来のサイトではなく「スケアウェア(不安を煽る詐欺広告)」や「マルウェア」を仕込んだサイトに放り込まれてしまうのです。
見た目はそっくり!「タイポスクワッティング」の恐怖
この詐欺は、ユーザーがブラウザののアドレスバーに直接URLを入力する際の「うっかりミス」を狙っています。具体的には、以下のような部分の打ち間違いをサイバー犯罪者は手ぐすね引いて待っているのです。
- トップレベルドメイン(TLD): 例:「.com」を「.cm」や「.co」と間違える
- セカンドレベルドメイン(SLD): 例:「google」を「gogle」と入力する
犯罪者は、あらかじめこうした「間違いやすい名前」でドメインを登録(タイポスクワッティング)しています。
あるいは、期限が切れたドメインを買い取り、広告に見せかけてウイルスをばらまく「プレースホルダー」として再利用する場合も。
クリック不要?アクセスしただけでデータが抜かれる仕組み
恐ろしいことに、これらのサイトは「ただ訪れるだけ」で被害に遭う可能性があります。
Infobloxの調査によれば、サイトにアクセスした瞬間に一連のリダイレクト(自動転送)が開始され、裏側で以下のような情報が収集される仕組みです。
- IPアドレスによる位置情報
- デバイスの指紋(OSの種類やブラウザ設定など)
- ブラウザのCookie情報
興味深いことに、これらのサイトは「相手」を見て態度を変えます。
VPN経由や企業用ネットワークからのアクセスには無害なフリを。一方で、無防備な「家庭用のIPアドレス」からのアクセスだと判別すると、牙を剥いて悪意あるコンテンツを表示させるのです。
巧妙化する「偽キャラクター」攻撃に騙されないために
以前、私は「ホモグラフ攻撃」についても紹介しました。
これは、アルファベットにそっくりな他言語の文字(たとえば「a」と「а」)をURLに混ぜ込み、見た目では区別がつかない偽サイトへ誘導する手法。こうした手口は、目を皿のようにしてアドレスを確認しない限り、見破るのは至難の業です。
詐欺サイトを回避するための鉄則
「検索結果は広告や偽サイトが混じるから、URLを直接打つのが一番安全」というアドバイスは、今でも一定の正解。
ですが、それも「100%正確に打てれば」という条件付きです。被害を未然に防ぐために、以下のポイントを徹底しましょう。
- ドメインのスペルを再確認: 特に「.com」などの末尾まで正確かチェックする。
- ブックマークを活用する: よく使う銀行やSNS、仕事用ツールは、最初から登録済みのリンクから飛ぶのが最も安全。
- OSやブラウザを常に最新にする: 既知の脆弱性を突かれないよう、アップデートを怠らない。
デジタルな世界では、一歩外に出れば地雷原のようなもの。ほんの少しの注意力が、あなたの大切なデバイスとデータを守る最大の武器になります。
