Bingの検索結果ではクロールされた元のページではなく、そのページがリダイレクトされていれば転送先のURLが表示されるため、Bingクローラーのみをリダイレクトさせるページをつくるフィッシング攻撃が発生しているそう。
現在Amazon.comは偽サイトのほうが上位に来ているため、とても危険な状態である。
そのため、Amazon.comに限ってはブックマークやデバイスアプリからの利用が望ましいだろう。
また投稿元にもあるが、Xの画像やURLも転送先の情報を表示するため、URLの目視だけで信用してアクセスするのは望ましくない。
少し前に話題になったホモグラフ攻撃でも同様のことがいえる。
ホモグラフ攻撃とは
攻撃者は利用者の多い著名な企業の保有するドメイン名などを標的に、一部の文字をよく似た形の別の文字で置き換えた偽のドメイン名を取得する。偽サイトのURLを電子メールやSMSなどで無差別に送信し、利用者が本物のサイトを見誤って接続することを狙う。
https://e-words.jp/w/%E3%83%9B%E3%83%A2%E3%82%B0%E3%83%A9%E3%83%95%E6%94%BB%E6%92%83.html
であり、google.com と gοοgle.com(xn--ggle-0nda.com:小文字オーがギリシャ文字の小文字オミクロン)なんて見分けがつかないだろう。
ホモグラフ攻撃は各ブラウザベンダーやレジストリごとに対応が進んでいる。
たとえばChromeではドメイン名にラテン文字やキリル文字、ギリシャ文字が混在している場合にPunycode(Unicodeで書かれた国際化ドメイン名の文字列を多くの機械で処理できるようにASCII文字に変換する技術のこと。Punycodeの先頭は必ず「xn--」から始まる)で表示される。
また.jpドメインは漢字・仮名・英数字のみが許可されているため、英数字系のドメインは攻撃対象になりにくい。
ただし、ドメイン名のすべての文字列をラテン文字にしたりすればブラウザの対応は迂回できるし、またすべてを.jpドメインにするわけにもいかないので、ほかのレジストリの対応に大きく委ねられる。
よって、フィッシング攻撃などでよく注意喚起される「URLをよく確認する」ということだけでは足りない。
Web制作に関わっている人間であればサイト全体の違和感(Googleのパスワード補完が効かないとか、いつもとサイトの見た目が違うとか)に気づくことができると思うが、ITから遠い業種の方にはかなり難しいだろう。いやWeb制作者でもかなり難しいか。
個人的にはたいしたクオリティの成果物を出さず己の金儲けだけにAIを使うユーザーのためにGPUを消費するくらいなら、今回のようなセキュリティ対策のために二酸化炭素を排出してほしいものだ。
2024/09/01 追記
最近では、URLにBasic認証のIDとパスワードを埋め込む方法を悪用したリンクの偽装が話題になっている。
https://username:password@example.com上記のような形式で https://example.com に対して Basic認証に usename とpassword を設定した状態でアクセスできるが、以下のようにして巧妙に詐欺サイトに誘導しているそう。
https://hoge.com⁄xxxxxxx@example%2Ecom(URLエンコードされた詐欺サイトのURL文字列)パスワードを省略し username に偽ドメインを記載し「⁄」U+2044(Fraction Slash)、あるいは「∕」U+2215(Division Slash)のような「/」スラッシュに似た文字を使用(Basic認証の username にスラッシュを使用することはできないため)して、「@」以下の部分はURLエンコードで隠蔽されたような形式だ。
怪しいエンコードが末尾にあるかどうかなど見分けるポイントはあるものの、もう見ただけではわからないだろう。
キーチェーンが反応するとか、ブックマークが正常に動作するとか、アクセス後のURLを確認するとかそのような確認プロセスを常に行わないと防ぐことは難しい。
https://forest.watch.impress.co.jp/docs/serial/yajiuma/1620057.html