フィッシングサイト認定される:こどもとスマホ記(その4)

こどもとスマホのサイトは、URL公開初日より、各セキュリティサービスよりフィッシングサイトと認定されてしまいました。

本稿では、その際に行った各サービスへの再評価リクエストの様子を、詳しくご紹介いたします。

はじめに

こどもとスマホ」サイトは、2015年6月1日にURLを公開直後から、Google、トレンドマイクロ、Twitter、ESETなどのセキュリティサービスから「フィッシングサイト」と認定され、Chromeで警告が出る、検索結果に表示されない、URLがTweetできないなどの状態になってしまいました。

その概要は上記サイトの”悪質サイト認定されたこと“に記しております。

本稿では上のページをベースに、Webサイト管理の観点から、現在でも続いている「悪質なサイト認定」との闘いの様子と対処を詳しく書きたいと思います。

最初に書いておきますが、「フィッシングサイト」と認定された原因はわかっていません。

(2016年3月9日追記:McAfeeの評価が「安全サイト」になりました。それに合わせて記載の変更と修正をしています。)

経緯

先のページより、フィッシングサイト認定の経緯を引用します。

  • 2015年4月21日より、現在と同一URLでサイト作成開始。メンバー内でURLを共有。
  • 5月31日 slideshareに「12のこと」「ハンドブック」をアップロード。facebookにて告知。
  • 6月1日 7時頃 サイトのURLをfacebookページで公開。
  • 6月1日 17時頃 Chromeにて「フィッシング行為が検出されました」と表示され、閲覧できない旨のメッセージを頂く。
  • 6月1日 17時以降 調査開始。Googleセーフブラウジングのほか、トレンドマイクロでも「フィッシングサイト」と認定されていることを確認。HTMLや設定などを確認するも問題は見当たらず、同日中にGoogleウェブマスターツールより再レビューを要求。トレンドマイクロにはサイトのフォームに入力するも、確認メールが迷惑メールに分類されており気が付かず、申請が完了していなかった。
  • 6月8日 Googleに再申請したとろ、同日中にフィッシングサイト認定は解除され、Chromeでアクセス可能になる。トレンドマイクロには、ウイルスバスタークラウドのサポートのフォームより問い合わせ。
  • 6月9日 トレンドマイクロのサポートより回答。評価を「安全」にしたとのこと。確認。
  • 6月9日 同日McAfeeのサイトチェックで「悪質なサイト」と認定されていることを確認。フォームより再レビュー要求。
  • 6月9日 同日「TwitterでURLをツイートできない」というメッセージを頂く。現象を確認してTwitterサイトのフォームより再レビュー要求。
  • 6月9日 同日ESETでもフィッシングサイト認定を確認。ESETのサイトのフォームより再レビュー要求。
  • 6月10日 ESETにて、評価が「安全」であることを確認。
  • 7月7日 TwitterでURLがツイートできることを確認。(再レビュー要求は複数回。Twitterはメール等で状況説明はなされない。)
  • 2016年2月21日 McAfeeの再レビュー要求の受付が https://www.trustedsource.org/ に変わったことに気づき、再要求。(それまでのMcAfeeの受付である https://www.siteadvisor.com/ には、2015年6月9日より複数回再レビュー要求を行っていたが、返信もなく対応状況は不明であった。)
  • 2月21日 同日、それまで「未評価」であった、ノートン・セーフウェブ(https://safeweb.norton.com/)にもレビュー要求をしてみる。
  • 2月22日 ノートン・セーフウェブで「OK safe」表示を確認。
  • 3月9日 McAfeeのチケット管理システムより、「Ticket Close」のメールを受信。McAfee Site Adviserのサイトで「安全」表示を確認。

facebookページにてURLを告知の直後に、Googleウェブマスターツール(Search Console)に登録しました。Googleがサイト評価をするきっかけはここであったかな、と思います。

2015年6月1日の17時での、Chromeの画面は以下です。(強烈ですね。(^^;)

ちなみにこの当時のサイト、トップページのみです。フォームは当時も今も設置していないので、ユーザーの情報を盗み得ません。

現状把握

まず最初に現状把握、ということで以下のサイトチェッカを使って他のサービスの判定を調べます。

VirusTotalは複数のサービスを軒並み調べてくれるのですが、日本でメジャーなセキュリティーソフトベンダー3社は入っていません。(カスペルスキーは入っているようですね。)ということで、各々を確認します。

Twitterに関しては、URLをTweetしてみないとブロックされているか分かりません。こちらはfacebookページにメッセージを頂き判明しました。

6月1日はGoogleとトレンドマイクロにフィッシングサイトと認定されていました。その後、McAfeeとESETに悪質なサイト認定されました。

このようにURLが広まるにつれ各サービスが各々評価を始めるので、現状把握はたびたび行う必要があります。

こどもとスマホサイトは、2015年9月26日現在もノートンとカスペルスキーで「未評価」です。将来悪質なサイト認定される可能性はあります。

(2016年3月9日追記:ノートンはセーフウェブから評価リクエストしたところ。「OK safe」の評価になりました。)

問題の確認

Googleセーフブラウジングでは、下のURLの「site=」以降にURLを書いてアクセスするとレポートを表示してくれます。

http://www.google.com/safebrowsing/diagnostic?site=http://www.sogen-yugen.org/kodomo-sumaho/

6月1日の時点では、上の「現在のところ、このサイトは疑わしくないと認識されています。」の部分が、フィッシングサイトで危ない旨の文章でした。(キャプチャを取っていませんでした。残念。)

取りあえずHTMLを見てはみましたが、問題がありそうに思えません。

javascriptで挿入されるタグやiframeの先のサイトなどは確認しきれないのですが、怪しいものは使っていません。

WordPressのテーマは一応「テーマ名+”phishing”」でGoogle検索してみましたが、そのような情報は見当たりませんでした。

その他、Dr.WEBgredなどのチェッカーにかけてみましたが、原因に当たる部分は見つかりませんでした。

ということで、問題発生のその日にGoogleとトレンドマイクロには、サイトの「再評価リクエスト」をすることにしました。

再評価リクエストを円滑にするために

再評価リクエストを円滑にするために、以下を行います。

  • URLチェッカーのURLと再評価リクエストページのURLをブックマークしておく。
  • 各サービスの、再評価のための稼働日数をメモしておく。
  • 再評価リクエストのためのコメント文書をテキストファイルに作成して保存しておく。
  • 迷惑メールフォルダもチェックする。

1点目は、対応状況の確認と、対応していないサービスに再申請をするためです。再申請は結構必要でした。

2点目は、再申請をする前に、最短でも公表している対応稼働日を待つためです。あまり頻繁に再申請するとスパム行為と思われかねません。

3点目は、再申請の手間を省くこと、および他のサービスにも悪質なサイト認定された際にも使い回すことを考えてです。英語のサービスに再評価リクエストをした際には、英語のテキストも保存しておきます。

4点目は、各サービスからの返信が迷惑メールフォルダに振り分けられることがあるからです。(gmailを使っていますが、Googleから返信メールも迷惑メールになっていました。苦笑。)

各サービスへの再評価リクエスト

では、各サービスへの再評価リクエストを具体的に記します。

Google

Googleにフィッシングサイト認定されますと、Chromeでは真っ赤な画面になりますし、検索にもヒットしません。(SEOどころではありませんね。)

Googleへの再評価リクエストは、Googleウェブマスターツール(Search Console)から行います。セーフブラウジングの下部にもリンクがあります。

こどもとスマホでは、1週間後に再申請を行い、即日「安全なサイト」に再評価されました。

トレンドマイクロ

トレンドマイクロには、現状把握で示しましたSite Safety CenterにURLを入力しチェックしてから、下の「評価内容の変更リクエスト」ボタンをクリックし、次のページのフォームより申請します。

こんな感じに、「危険」で「フィッシング」の判定に対して、適当なカテゴリを提案しておきます。

経緯に書きましたように、このフォームを送信した後の確認メールが迷惑メールに振り分けられていて気が付かず、申請できていませんでした。

私はウィルスバスターを使っていましたので、そのユーザーサポートに対応を聞いてみたところ、そこで、一日で対応していただけました。(トレンドマイクロの好感度UP!)

Googleとトレンドマイクロが、再評価後に判定を「安全サイト」に変えたのは、大きな励みになりました。潜在的にフィッシングサイトと認定されうる要因はあるものの、再評価すれば安全なのですから。

リクエストの際のテキストにも、「Googleとトレンドマイクロは再評価で安全サイトと判定したよ」と(慇懃に)書き足します。

ESET

VirusTotal の判定で、ESETというサービスも悪質なサイト認定していることがわかりました。

ESETというサービス、私は知らなかったのですが、VirusTotalのようにチェックサービスの裏側で動いていたり、企業向けにサービスを展開しているようです。

Google先生を駆使して、Report phishing false positiveというページを見つけ、ここから再評価リクエストをしました。

ここでリクエスト時のコメントを英語にすることが必要になりました。

対応は早く、翌日安全サイト判定になりました。

Twitter

Twitterへの申請はスパムの報告のページから行います。

2つ目の「Twitterがスパムと判断したため、リンクをツイートできません。」をチェックし、表示されたフォームを埋めて送信します。

返信メールもありませんので対応状況はわかりません。2回目の申請の後にURLがTweetできることを確認しました。

以上、各サービスに対する再評価リクエストと対応状況でした。

McAfeeへの再評価リクエスト

McAfeeでは未だに「悪質なサイト」認定です。再申請はたびたびしています。

(2016年3月9日,20日追記:2016年3月9日にMcAfeeの評価も「安全なサイト」になりました。現在の再評価リクエストの仕方は、以下の記述とは異なりますが、2015年までの記録として残しておきます。新しい再評価リクエストの模様は、「フィッシングサイト認定完結編」に記しています。)

せっかくですので、2015年9月26日16:13現在、記事を書きながらリアルタイムで再評価リクエストをレポートしてみます。

Site Adviserからの申請

最初は、現状把握で示しましたSite Adviserから申請します。

Site Adviserのサイトに評価したいURLを入力すると以下の画面になります。

ここで、「レビューの要求」ボタンをクリックします。

レビュー要求のフォームが表示されますが、「サイトの所有者の方はログインまたは登録してください」とあります。

サイトアドバイザーのレビューワーとして登録が必要そうです。私は何回も申請していますので、ログイン状態です。(右上。)

ログイン後、上のように「安全」と適当なカテゴリとコメントを入力します。

そして「送信」をクリックします。

以上、Site Advisorからの再評価リクエストでした。

ユーザのフィードバックからの申請

上記フォームから数回申請しましたが、リアクションはありません。

そこでWeb管理者のページを見ると、さらに2つの申請方法があることがわかります。

2つ目はユーザのフィードバックのページです。

フォームを埋めて、「フィードバックまたは質問を送信」をクリックします。すると…、

悲しいエラー表示…。(´・ω・`)

ユーザIDが空白なのがいけなかったのでしょうかね。(オプション)と書いてあるんですが。(はたまたメッセージ長すぎ?)

ということで、ユーザフィードバックのページは使えません。

メールでの申請

最後の手段は、先のWEB管理者のページあった support@siteadvisor.com へのメールです。

文面はフォームへの入力と同一ですが、重複のリクエストになりますのでお詫びの文言、それと念のために英語の文面も入れておきます。

2015年9月26日17:11、送信しました。

今後は…

以上、McAfeeへの再評価リクエストでした。

しかし今まで記しましたように、返信メールがまったくありませんし、エラーのでるフォームも放っぽりぱなしなので、McAfeeさんは再評価するつもりがないと思っています。(私のメールアドレスをスパマー認定している可能性もありますが。)

進捗がありましたら、本記事を更新します。

(2016年3月20日追記:2016年に新しくなったMcAfeeさんのシステムには、再評価していただきました。最後の「まとめ」の章にその記事へのリンクを貼っておきます。)

昨年初めにintelは、McAfeeブランドを廃止しintel Securityブランドにすることを発表しました。

日本はマカフィー株式会社のままのようですが、intelというグローバルブランドとしては、対応をお願いしたいところです。

原因の推測

以上のように、こどもとスマホサイトにはフィッシングサイトと認定されうる原因はあるものの、再評価後に安全サイトに認定されることから、悪意のあるサイトではないことがお分かりいただけたかと思います。

当時1ページだけの、フォームもないサイトがフィッシングサイト認定された原因はわかっていません。可能性としては以下が考えられます。

  1. 無料のレンタルサーバー(xdomain)が挿入する広告のタグまたはスクリプト
  2. WordPressのスクリプト
  3. WordPressのプラグインのスクリプト
  4. テーマのスクリプト
  5. slideshareやソーシャルリンクボタンなど、iframeの先のサイト
  6. 上記の組み合わせ

1.から3.は、ドメインのルートのサイト(http://www.sogen-yugen.org/)とも共通しているのですが、ドメインのルートはフィッシングサイト認定されていないことを確認しています。

4.については先述の通り、検索しても同じように困っている人は見つかりませんでした。

5.については、iframeの先はクッキーを読み込んでユーザー情報を参照したり、クロスドメインでいろいろやっていそうなので、一番フィッシングサイトに思われそうです。(slideshareではCross-Origin Resource Sharing policy違反のエラーが出ています。)

しかし使っているものはメジャーなサービスのみで、同様なものを使っているサイトは多数あります。

6.なのか、他の原因なのか…。

ユーザーサポートで対応いただいたトレンドマイクロさんには、ご厚意に甘えてフィッシングサイト認定の原因を聞いてみました。

しかし、

  • サポセン「安全の評価の前は、”未評価”です。」
  • 私「”フィッシングサイト”の画面キャプチャがあるよ。」
  • サポセン「すべてのサーバーに評価が伝達されるのには、時間が掛かります。」

というご回答で、結局のところ原因はわかりませんでした。

振り返り

フィッシングサイト認定された時点で「URLを変える」という手段もあります。

しかし原因がわからないことには、次のURLでも同じ認定をされるでしょう。

この事例に関しては、公開前に作成したあったPDFコンテンツにサイトのURLを入れていた、というのもURLを変更したくない一因でした。

Googleウェブマスターツールへの登録は、作りかけのサイトがGoogle検索に引っかからないように、URL公開の当日に行いました。

しかし、最初のうちはGoogle検索の上位には来ないので、作っている最中からウェブマスターツールに登録し、Googleさんのご機嫌を伺っておけばよかったかと思います。

また作りながら各セキュリティサービスのURLチェッカーにかけ、どうせ認定されるなら公開前にされた方が、URLを変更してサイトをシンプルにするなどの手が打てたことでしょう。

まとめ

以上、各セキュリティサービスのフィッシングサイト認定との闘いの回想録でした。

McAfeeさんには負けっぱなし、あるいは闘いの土俵にも上げてもらえません。

(2016年3月9日,20日追記:やっと土俵に上げてもらえました。その模様は「フィッシングサイト認定完結編」をご覧ください。)

将来同じような闘いをする方が、検索なのでこのページにたどり着き、ご参考になれば幸いです。

最後に、公開初日にフィッシングサイト認定され、実は「おいしい」と思ったことを告白しておきます。そのこころは、次回のマーケティング編に続きます。

コメントを残す