タイポスクワッティング|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. タイポスクワッティング
             

タイポスクワッティング

タイポスクワッティング(Typosquatting)とは、ユーザーがウェブサイトのURLを誤って入力する際のタイピングミス(タイポ)を悪用し、ユーザーを別のウェブサイトに誘導する手法のことです。これは、サイバースクワッティング(有名企業の商標やブランド名を悪用したドメイン取得)の一種であり、主に有名企業やブランドのサイトと似たURLを取得することで、ユーザーを意図せずにフィッシングサイトや広告が表示されるサイトに誘導する目的で行われます。

タイポスクワッティングは、巧妙な手法でユーザーのミスにつけ込むため、誤ってアクセスしたユーザーが気づかないことが多く、個人情報の窃取やウイルス感染、詐欺行為などの被害を引き起こすケースもあります。

タイポスクワッティングの特徴

1. URLのタイピングミスを狙う

タイポスクワッティングの最大の特徴は、ユーザーがURLを入力する際のわずかなミスに依存している点です。例えば、人気のあるサイト名のスペルミスや、アルファベットのOと数字の0を入れ替えたURLなどが使われます。これにより、意図せずフィッシングサイトや広告ページに誘導されてしまうことが起こります。

2. 本物そっくりのページを表示

多くの場合、タイポスクワッティングのサイトは、実際の公式サイトと似たデザインやレイアウトを採用しています。これにより、ユーザーは誤ってアクセスしたことに気づかず、信頼して個人情報を入力してしまう可能性が高まります。

3. 悪意ある目的での使用

タイポスクワッティングは、フィッシング詐欺や広告収入の獲得、不正なソフトウェアのダウンロードを目的としたケースが多いです。例えば、偽のログインページを表示してユーザーのIDやパスワードを盗んだり、悪質な広告を見せてクリックを誘導したりするなど、さまざまな悪意のある手法が使用されます。

タイポスクワッティングの例

1. ドメインの綴りの違い

有名なウェブサイトのドメイン名と似た綴りを使用する例です。例えば、「google.com」を「gooogle.com」や「goggle.com」といったように一文字追加・省略・置き換えを行ったURLが典型的なタイポスクワッティングの手口です。

2. キーボード上の近いキーを利用

「.com」と入力するべきところを「.cm」など、キーボード上で隣接するキーを使ったURLを登録するケースもあります。このようなURLにアクセスすると、本物のウェブサイトに似せた詐欺ページに誘導されることがあります。

3. サブドメインの悪用

タイポスクワッティングの一環として、例えば「login.bank-example.com」というサブドメインを「bank-example-login.com」のように入れ替え、ユーザーを誤誘導する手法も使われます。ユーザーがサブドメインとドメイン名の構造に慣れていない場合、見た目だけで正しいサイトと思い込んでしまう可能性があります。

タイポスクワッティングの目的

1. フィッシング詐欺

タイポスクワッティングは、主にフィッシング詐欺で使われ、ユーザーの個人情報やクレジットカード情報を窃取することが目的です。偽のログインページでユーザー名やパスワードを入力させ、情報を盗むなどの被害が多発しています。

2. 広告収入の獲得

ユーザーを誤誘導し、広告の表示やクリックを誘導することで広告収入を得る目的でタイポスクワッティングを行うケースもあります。広告収入の増加を目的とし、リダイレクトやポップアップ広告が頻繁に表示されるサイトへ誘導する場合があります。

3. マルウェアの拡散

タイポスクワッティングサイトで悪意あるソフトウェアのダウンロードリンクを提供し、ユーザーにマルウェアやウイルスをインストールさせることもあります。これにより、ユーザーのPCに不正アクセスが行われ、情報が盗まれることがあります。

タイポスクワッティングの被害を防ぐ方法

1. URLの正確な確認

タイポスクワッティングによる被害を防ぐためには、アクセスするサイトのURLを注意深く確認することが重要です。特に、銀行やショッピングサイトなど、個人情報を入力するサイトにアクセスする際は、公式サイトのURLを再確認することが推奨されます。

2. ブラウザのブックマーク機能を活用

よく利用するサイトは、ブラウザのブックマークに登録することで、タイポスクワッティングサイトへの誤アクセスを防止できます。ブックマークからアクセスすることで、毎回正しいURLを入力する手間が省け、誤入力による誘導を防ぐことができます。

3. セキュリティソフトの導入

多くのセキュリティソフトには、フィッシングサイトやタイポスクワッティングサイトの検出機能が含まれています。これにより、アクセス前に警告が表示されるため、誤って不正サイトにアクセスしてしまうリスクを減らすことができます。

4. 認証情報の管理

フィッシングサイトに誤って認証情報を入力しないよう、銀行や重要なサービスには多要素認証(MFA)を設定することが推奨されます。さらに、パスワードマネージャーを使用することで、ログインページが正規のURLであるかどうかを確認できます。

タイポスクワッティングの法的問題

タイポスクワッティングは、ドメイン名を使用して他社の商標権やブランドイメージを悪用する行為として、法的な問題を引き起こす場合があります。多くの国では、タイポスクワッティングに対して商標権や不正競争防止法の観点から訴訟が提起されることがあり、ドメイン名の強制取得や損害賠償の対象となることがあります。企業側も、自社ブランドを保護するため、タイポスクワッティング対策を講じたり、必要に応じて法的措置を取るなどの対応を行っています。

まとめ

タイポスクワッティングは、URLのタイピングミスを悪用してユーザーを誤誘導する手法で、フィッシング詐欺や広告収入の獲得、マルウェアの拡散を目的に使われることがあります。被害を防ぐためには、URLの確認やブックマークの利用、セキュリティソフトの導入、認証情報の管理などの対策が重要です。また、企業は商標権を守るための対策を講じる必要があります。ユーザーの注意力と適切なセキュリティ対策によって、タイポスクワッティングによる被害を未然に防ぐことができます。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。