Webページの中には、フィッシングやウイルスのばら撒きを目的とした悪質なものがあります。もしそのようなURLにアクセスしてしまうと、被害にあうことも考えられます。
こうしたWebページの被害に遭わないよう、そのURLが安全かどうかをチェックする方法が存在するのをご存知でしょうか。この記事では安全にインターネットを使いたい方に向けて、URLの安全性をチェックするおすすめの方法を解説します。
また、企業・組織のセキュリティ対策をお考えの方へ、不審なURLや添付ファイルでサイバー攻撃を仕掛ける標的型攻撃メールの事例・サンプルが学べる資料を無料で配布しています。ぜひご活用ください。
URLの安全性はどのようにチェックするか
不審なURLを見つけた時、そのURLの安全性をチェックする方法はいくつかあります。
一つはURLのチェックを代行してくれるサービスやツールを使う方法です。これは対象となるURLへのアクセスをユーザーに代わってしてくれるサービスであり、仮想的なブラウザを使って行われるものです。チェックするURLのWebページのキャプチャ画像やサイトの情報を取得して、安全性を判断できます。チェックするURLのサイト内をウイルススキャンできるツールもあります。
また、短縮URLを展開して最終的な転送先をチェックできるツールもあります。これを使えば、不審な短縮URLを事前にチェックすることが可能です。
また、ドメイン単位で危険性をチェックできるツールも存在します。このツールは詐欺サイトのドメインやマルウェアが仕込まれているドメインなどの危険なドメインのブラックリストを保持しており、チェック時に照合してドメインの危険性を判断できます。
URLの安全性はHTTPSの表示だけでは確認できない
かつてURLのプロトコルがHTTPSであれば、そのWebサイトは安全であると言われていたことがありました。しかし現在は、HTTPSと表示されているだけで、安全なURLだとは判断できません。
HTTPで始まるURLは通信内容が暗号化されており、インターネット回線でやり取りされるデータの盗聴は防御できます。
このHTTPSによる通信にはSSLサーバー証明書が必要とされるのですが、その証明書の取得は容易であり、悪意を持った攻撃者もかんたんに手に入れることができます。
たとえば、現在多くのレンタルサーバーでは、ドメインに対し無料でHTTPSで通信できる機能が利用できます。攻撃者もかんたんにHTTPSに対応したフィッシングサイトやマルウェア感染サイトを開設できるようになっているのです。
つまり現在は、URLがHTTPSで表示されているだけでは安全とは言い切れないのです。
URLの安全性を判断する方法
URLの安全性を判断するには、以下の方法があります。
- URLのスペルやドメインに注目する
- HTTPSの場合はサーバー証明書の内容をチェックする
- アクセス時のブラウザの警告に注意する
これらについて詳しく解説します。
URLのスペルやドメインに注意する
危険なURLの特徴の一つに、有名な企業や組織の公式サイトのURLと少しスペルが異なるドメインが使われていることがあります。このような、なりすましURLを使うサイバー攻撃のことを「ホモグラフ攻撃」と言うこともあります。
たとえば、アルファベットの小文字の「o(オー)」を「ο(オミクロン)」に置換したURLや、「m(エム)」を「rn(アール+エヌ)」に置き換えたURLなどは定番です。
また正規URLの入力ミスを悪用した「タイポスクワッティング」という手法も知られています。正しくは「google」であるところを、「gooogle」と入力ミスしたときにアクセスされるドメインのWebサイトで攻撃が実行されるなどのケースです。
一部のセキュリティ対策ソフトには、このような有名サイトのURLに近い文字列のURLを開いたときに警告を表示させるものがあります。常に目視で確認するのは困難であるため、このような機能を持つソフトの助けを借りるのも一つの方法です。
HTTPSの場合はサーバー証明書の内容をチェックする
HTTPSの表示だけでは安全性を確認できないと解説しましたが、一歩踏み込んでSSLサーバーの証明書の内容をチェックするのも大切です。
サーバー証明書には、誰でも取得できる「ドメイン認証(DV)」のほかに、法人を対象とした「企業認証(OV)」や「EV認証」もあります。
この企業認証やEV認証は、企業が実際に存在していることを認証局が確認したうえで証明書を発行しています。HTTPS接続であっても安全とは限らないのはもちろんですが、このサーバー証明書が企業認証やEV認証であれば、Webサイトの安全性は高いと判断することができるでしょう。
アクセス時のブラウザの警告に注意する
不審なURLにアクセスした時にブラウザが警告を表示してくれることがあります。この場合、まずは警告の文章を読み、どのような危険性があるのか確認しましょう。
多いケースとして、HTTPSではなくHTTP接続のアクセス時に警告が表示されることがあります。HTTPS接続が当たり前となった現在、通信が暗号化されないHTTP接続は、それだけでも盗聴などの危険性があるため、正規のURLであるかどうか、予め確認してからアクセスした方が良いでしょう。
URLの安全性はウイルス対策ソフトである程度チェックできる
URLの安全性のチェックは、ウイルス対策ソフトでもある程度は可能です。
たとえば、トレンドマイクロの「ウイルスバスター クラウド」の「SNSプロテクション」という機能では、SNS上でシェアされているURLの安全性をチェックして、危険性がある場合は警告を表示します。
ただし、このような機能は決して完全ではありません。危険なURLを安全と判断してしまったり、安全なURLを危険と判断してしまうこともあります。安全なURLかどうかを最終的に判断するのは、ユーザー自身であることも理解しておきましょう。
URLの無料チェックサービスも存在する
使用しているウイルス対策ソフトにURLのチェック機能がついていない場合や、都度URLをチェックしたい場合には、ブラウザ上で動作する無料チェックサービスを利用しましょう。
SecURL(セキュアール)
SecURL(セキュアール)は、URLを入力すると仮想的なブラウザでWebページを表示して、調査したURLと、そのURLのWebページにあるリンク先のURLの安全性までをチェックできるツールです。
aguse(アグス)
aguse(アグス)は、チェックしたURLにマルウェアが含まれているかどうか調査できるツールです。
HTMLを分析して、metaタグの情報やサイトタイトルを取得したり、サーバーのIPアドレス、サーバー証明書の情報の表示にも対応しています。外部リンク先をボタンクリック一つで調査できる機能も備わっています。
トレンドマイクロ サイトセーフティセンター
トレンドマイクロ サイトセーフティセンターは、URLを安全、危険、不審、未評価の4つに評価するURLチェックツールです。
安全性のチェックに加えて、Webページのカテゴライズをする機能もあります。
ノートン セーフウェブ
ノートン セーフウェブもURLの安全性を4つのレベルでチェックできるURLチェックツールです。
Webページからのチェックだけでなく、Google Chromeの拡張機能からチェックすることもできます。
Google セーフブラウジング
Google セーフブラウジングは、チェックするURLをGoogleが毎日調査した危険なURLのリストと照合して、安全なURLであるかどうかを教えてくれるサービスです。
Google Chromeをブラウザとして使っている時に危険なURLにアクセスしようとすると、警告を表示する機能としても使われています。
ただ、こうしたチェック方法も完全ではなく、チェックツールの監視を潜り抜けてしまうマルウェアやサイトも存在します。
そうした場合に備えて、従業員が適切にURLを判断できるよう、日ごろからセキュリティリテラシー・意識を養っておきましょう。
LRMのセキュリオではeラーニング・標的型攻撃メール訓練・ミニテストの組み合わせで効果的に従業員のセキュリティリテラシー・意識を向上できます。まずは無料ではじめましょう。
まとめ
安全にインターネットを使うためには、自分の身は自分で守らなければなりません。この記事で解説したURLチェックツールは、URLの安全性をチェックするのに役立つ便利なサービスです。少しでも怪しいと思ったら、不用意にアクセスする前に、このようなサービスを使ってチェックすることをおすすめします。
標的型攻撃メール 事例・サンプル集はこちら。
