Bingの検索結果ではクロールされた元のページではなく、そのページがリダイレクトされていれば転送先のURLが表示されるため、Bingクローラーのみをリダイレクトさせるページをつくるフィッシング攻撃が発生しているそう。
現在Amazon.comは偽サイトのほうが上位に来ているため、とても危険な状態である。
そのため、Amazon.comに限ってはブックマークやデバイスアプリからの利用が望ましいだろう。
また投稿元にもあるが、Xの画像やURLも転送先の情報を表示するため、URLの目視だけで信用してアクセスするのは望ましくない。
少し前に話題になったホモグラフ攻撃でも同様のことがいえる。
ホモグラフ攻撃とは
攻撃者は利用者の多い著名な企業の保有するドメイン名などを標的に、一部の文字をよく似た形の別の文字で置き換えた偽のドメイン名を取得する。偽サイトのURLを電子メールやSMSなどで無差別に送信し、利用者が本物のサイトを見誤って接続することを狙う。
https://e-words.jp/w/%E3%83%9B%E3%83%A2%E3%82%B0%E3%83%A9%E3%83%95%E6%94%BB%E6%92%83.html
であり、google.com と gοοgle.com(xn--ggle-0nda.com:小文字オーがギリシャ文字の小文字オミクロン)なんて見分けがつかないだろう。
ホモグラフ攻撃は各ブラウザベンダーやレジストリごとに対応が進んでいる。
たとえばChromeではドメイン名にラテン文字やキリル文字、ギリシャ文字が混在している場合にPunycode(Unicodeで書かれた国際化ドメイン名の文字列を多くの機械で処理できるようにASCII文字に変換する技術のこと。Punycodeの先頭は必ず「xn--」から始まる)で表示される。
また.jpドメインは漢字・仮名・英数字のみが許可されているため、英数字系のドメインは攻撃対象になりにくい。
ただし、ドメイン名のすべての文字列をラテン文字にしたりすればブラウザの対応は迂回できるし、またすべてを.jpドメインにするわけにもいかないので、ほかのレジストリの対応に大きく委ねられる。
よって、フィッシング攻撃などでよく注意喚起される「URLをよく確認する」ということだけでは足りない。
Web制作に関わっている人間であればサイト全体の違和感(Googleのパスワード補完が効かないとか、いつもとサイトの見た目が違うとか)に気づくことができると思うが、ITから遠い業種の方にはかなり難しいだろう。いやWeb制作者でもかなり難しいか。
個人的にはたいしたクオリティの成果物を出さず己の金儲けだけにAIを使うユーザーのためにGPUを消費するくらいなら、今回のようなセキュリティ対策のために二酸化炭素を排出してほしいものだ。