前回の記事「ネットに蔓延るサポート詐欺について (その1 観察編)」では、サポート詐欺の広告やサイトはどんなものか、どんな仕掛けがあるのかを観察してみた。今回は、実際に詐欺を見つけたらどうするかという話をする。
詐欺被害を減らすには
詐欺を止める、あるいは被害を軽減するためにできることは色々ある。まずは技術的な観点で思いつくものを挙げてみよう。
- 広告がユーザに届かなくなる
- 広告プラットフォーム側の対処
- 広告主のアカウントを削除
- 詐欺広告を削除
- ランディングページのURLやドメインがNGリストに入る
- 広告を載せているメディアによる対処
- 広告を個別にブロック
- 広告主をブロック
- ランディングページのドメインをブロック
- 広告ブロッカーによってユーザのブラウザ上に表示されなくなる
- 広告プラットフォーム側の対処
- 詐欺ページがユーザに届かなくなる
- サイトのテイクダウン
- ドメインレジストラがドメインをテイクダウン
- CloudflareなどのCDNが配信を停止する
- クラウド側で削除が行われる
- サイトの遮断
- ブラウザでブロックされる
- Google Safe Browsingがブロックする
- Microsoft Defender SmartScreenがブロックする
- ローカルの検出機能 (ChromeのEnhanced Protectionなど) が検知し、ブロックする
- アンチウィルスソフトやフィルタリングソフトがブロックする
- 企業用ファイアウォールなどがブロックする
- ブラウザでブロックされる
- サイトのテイクダウン
- 詐欺師の電話番号が使えなくなる
さらに長期的には
- 自動検出プログラムが賢くなり、詐欺がすぐにバレるようになる
- ChromeのEnhanced Protectionのようなローカルでの検出技術が向上し「初手」をブロックできるようになる
- 悪用されがちなブラウザAPIの仕様見直し (従来も、悪用されがちなHistory APIなどは制限が強化された)
- 見つけた詐欺行為を通報する人が増える
技術的な話とはまた別に、社会的・経済的な側面ではどうだろうか。
- 法執行
- 詐欺師本人が摘発される
- 摘発のニュースにより他の詐欺が抑止される
- 詐欺師の資産の凍結
- 詐欺師の決済手段が使用不可になる
- 詐欺が割に合わなくなる
- ユーザ側
- 一般ユーザに防犯情報が広まり、引っかかる人が減る
- ユーザが送金しようとしている段階で思いとどまらせる (コンビニで金券を購入する際に警告するなど)
技術的にダメージを与えても、結局は「モグラ叩き」である。世知辛い話ではあるが、広告も、サイトも、アカウントも、電話番号も、だいたいのものは使い捨てだと考えたほうがいい。それでも、詐欺の被害を軽減したり、詐欺行為のROIを悪化させて「割に合わない」ものにしたり、詐欺師の持っているアカウントの信用を削ったりするポイントはたくさんある。今回の記事では、オンラインでできる範囲のことを紹介する。
検証する
目の前に怪しい広告があって、ちょっとチェックしてみたい場合、どうするか。
クリックすれば、おそらく詐欺サイトに飛ばされるだろう。詐欺広告がクリックされれば、詐欺師は広告費を浪費することにはなる。しかし、同時にプラットフォーム側やメディア側が「詐欺広告で儲かってしまう」形になってしまう。こういう不健全なお金の流れは1件でも減らしたいので、私はなるべく直接踏みたくはない。
踏まずにチェックしたい
広告を実際にクリックしなくても、わかることはたくさんある。
たとえばGoogle広告の場合は、広告の詳細を見ることができるようになっている。「i」や「▷」のアイコンをクリックしてみよう。
すると、”About this ad (この広告について)” というページが開く。広告の透明性のために設けられているページだ。”About this advertiser (この広告主について)” という欄に “See more ads (他の広告を表示)” というボックスがあるので、そこを開くと、同じ広告主による広告一覧が見られる。すでに違反で削除されている広告がないか? 他に怪しい広告はないか? チェックしてみよう。
こんな具合に “Removed for a policy violation (ポリシー違反が理由で削除されました)” と書かれたものが並んでいることもある。
また、広告をクリックしたときに実際に飛ばされるランディングページのURLも確認することができる。広告バナーにカーソルを合わせ、右クリックしてリンクのURLをコピーしてみよう。Google広告なら、こんなURLになっている。
https://googleads.g.doubleclick.net/aclk?sa=xxx&ai=xxx&ae=xxx&gclid=xxx&num=xxx&cid=xxx&sig=xxx&client=xxx&rf=xxx&nb=xxx&adurl=https://scam.example.com?この adurl というパラメタの値がランディングページのURLだ。
実際にこのURLを開かなくてもわかることがある。ざっくりとレピュテーションを確認したいなら、VirusTotal で検索してみよう。さまざまなセキュリティベンダーの評価を横断して、サイトが悪性判定されているかどうかがチェックできる。
さらに、urlscan.io に代わりにページを見に行ってもらうこともできる。urlscan.ioがどんなものなのかは前回の記事でも解説した。ランディングページは検出回避の仕組みが満載されており、ランディングページ単体で “Malicious Activity!” 判定が出ることはまずない。前編で書いたような仕掛けが満載だ。しかし、「不自然なクッキーダイアログ + crypto-js」といった怪しげなパターンが見えることもある。
証拠保全と解析
さて、詐欺サイトを実際に踏んでみるとどうなるか。ここから先は、自信の無い人、不安な人はやめておいたほうがいい。
また、サイトを実際に見た上で通報してやろうと思っている場合は、証拠保全や解析の準備をしておこう。大音量で音声が流れるので、積極的に聴くつもりがないならば音量はゼロにしておくのがおすすめ。
HAR
悪性サイトの検証の際は、HAR (HTTP Archive) とスクリーンショットが2大エビデンスとなる。
HARの保全は少し準備がいるが、どのブラウザでもたいてい開発者ツール (あるいはそれに類する名前のもの) のひとつとしてこの機能を備えており、ネットワークログのタブのどこかにHARを保存する機能がある。
こちらの記事が詳しい。
ネットワークタブにはたいてい、別のサイトに移動したときにログを付け足していくか、あるいは一旦ログをクリアするか、挙動を切り替える機能がある。「付け足す」ようにしておこう。詐欺サイトの多くはHTTP 301やJavaScriptによる遷移を組み込んでおり、このリダイレクトチェーンが途中切れてしまうと完全な証拠が残らないからだ。Firefoxの場合は、歯車アイコンをクリックして “Persist logs” をチェックしておく。
ログを全消去したら、記録を開始しよう。ランディングページを開いてから実際に詐欺画面が表示されるまでの一連の流れがネットワークログに表示されたら、 “Save All as HAR” を実行して保存する。Chromeなどの場合は、プライバシーにかかわるデータを削除した状態で保存する機能を備えている。
スクリーンショット
スクリーンショットは、強力な証拠となる。また、証拠として使わない場合でも、「どのブランドを詐称しているか」「どの電話番号にかけさせようとしているか」といったポイントを確認できるので、とりあえず撮っておこう。実際に「このURLにアクセスしたらこの画面が出た」という証拠とするため、ページ本体だけでなくブラウザのURL欄も含めて撮るのがおすすめ。
また、開発者ツールのネットワークタブごとスクリーンショットに含めるのも有りだと思う。特に、リダイレクト元のURLを通報したい場合は、その行を選択し、レスポンスヘッダも一緒に映り込むようにすれば
- 詐欺画面
- 詐欺画面の表示される最終リダイレクト先URL
- リダイレクト元のURLの挙動
- 一連のリダイレクトチェーン
これがすべて一枚の画像におさまる欲張りショットが出来上がる。
Geminiにちょっと見てもらう
Google Chromeには、開いているページを参照しつつGeminiとチャットをする機能がある。これが解析にけっこう役立つのだ。クローラーを使って取得してくるのではなく、今現在ブラウザ上に表示されるものを見ることができるので、クローキングに阻まれることもない。ユーザが見ているページそのものを見せることができる。Geminiタブを開いて、
今開いているのは、Web広告で集客しているサポート詐欺サイトです。通報したいので、通報文に盛り込むポイントを教えてください。とか
今開いているのはサポート詐欺サイトですが、なかなか自動スキャンで悪性挙動が検出されません。検出逃れのためのテクニックを分析してみてください。とか訊いてみよう。ポイントを解説してくれる。
広告を通報する
さて、調査ができたら通報だ。まずは、広告を通報する方法。
さきほど紹介した “i” ボタンもしくは “▷” のアイコンから通報を行うこともできる。
カテゴリは “It’s misleading or a scam” を選び、コメント欄には、どんな悪事を行っているかを書く。何を書くか、詳しくは後述するが、「サポート詐欺 (tech support scam)」であるということと、詐称しているブランド (MicrosoftとかAppleとか)、かけさせようとしている電話番号、どこからアクセスしたか (国レベル) はなるべく盛り込みたい。
広告に添えられたアイコンをクリックする以外にも、”Report an ad or shopping listing” というフォームから通報することもできる。「リンクはコピペしたけれど広告の出ていたページは閉じてしまった」あるいは「AdSenseの広告レビュー画面で取得できる共有用URLを添えて通報したい」という場合はこちらを使おう。
なお、Google Adsの通報フォームは、ファイルを添付することができないし、字数制限もある。
サイトを通報する
詐欺サイトは、その実態に応じて通報先を選定する必要がある。サイトを通報する際の目的は大きく二つに分かれる。「ブロック (遮断)」と「テイクダウン (サイトの消滅)」だ。
ブロック (遮断) 狙い
サイト自体を消滅させるのではなく、ユーザが騙されることがないよう、遮断・警告するための通報だ。また、セキュリティベンダーは、把握した悪性URLのフィードを提供しており、ベンダー同士でフィードを相互利用しているところもある。そういったフィードは、企業のファイアウォールなどにも活用され、企業の被害を防ぐのに役立つ。一般ユーザが使うアンチウィルスソフトウェアやフィルタリングアプリにもそういった情報が使われている。
- Microsoft “Report unsafe site”
- このデータはMicrosoft Defender SmartScreenなどに使われる。実際に悪性判定されたかどうかは確認できないっぽい。
- 通報対象は、AzureなどのMicrosoft製品を悪用したページだけでなく、詐欺・フィッシング全般。
- コメントを添えることはできず、URLだけ入れられる。
- Google Safe Browsing
- カテゴリは This page is not safe > Social engineering > Fake Support Scam がサポート詐欺に該当。
- コメント欄もあるので、詳細を伝える余地がある。
- 通報から実際のブロックまで10分ほどかかる。
- Google Safe Browsing – Google Transparency Report で判定結果が見られる。
- ChromeのEnhanced Protectionに判定させる
- プライバシーとパフォーマンスに極力配慮しつつ、「今現在、Chromeに表示されているページ」をローカルAIのGemini Nano LLMが分析し、詐欺の可能性があればブロックするというもの。「このURLは安全か?」ではなく「こういう特徴のあるページは安全か?」で判断するので、誰も把握していない真新しい詐欺ページにも対応可能だ。詳しくはChromeの開発チームによる記事 “Using AI to stop tech support scams in Chrome” を読むとよくわかる。
- Chromeチームによる記事には “Standard Protection users will also benefit indirectly from this feature as we add newly discovered dangerous sites to blocklists.” とある。誰かのEnhanced Protectionが把握した情報は、普通のGoogle Safe Browsingにも生かされるので、このEnhanced Protectionに食わせることが一種の「通報」となる。しかも、ユーザの環境で観測したページの特徴を判断の材料とするため、クローキングにも強い。Googleから派遣されてきた小さなAIの妖精さんに「犯行現場」に立ち会ってもらうようなものだ。
- urlscan.io
- urlscan.ioを使う目的は、スキャンして結果を眺めるだけではない。ここで悪性判定されたURLはセキュリティフィードとして各所で利用される。また、類似の特徴を持つページのスキャン結果をリストアップすることも可能なので、新しい詐欺の傾向が一目瞭然。セキュリティ研究や各所の自動判定プログラムの役に立つこともあるだろう。
- Netcraft
- 英国のセキュリティベンダー。企業向けセキュリティサービスやセキュリティフィードの提供を行っているところ。一般ユーザ向けのブラウザ拡張などもあって、ワンクリックで詐欺を通報できる機能もついている。
- 反映がけっこう早い。自動スキャン結果がすぐにメールで送られてくるし、新しいURLの情報が流通するスピードがGoogle Safe Browsingよりも早かったりする。
- 有効な通報をするとポイントが付与され、ポイントがたまると記念品をもらえる。私も詐欺やフィッシングメールを時々通報していたらポイントがたまって、ノベルティのペンとマグカップをゲットした。グランデサイズのマグカップがビールを飲むのにちょうど良い。
こういった「ブロック」狙いの通報で万人の被害を防ぐことができるわけではないが、後述のテイクダウンはどうしても実際に執行されるまでに時間がかかる場合が多く、詐欺師の「逃げ切り」を許すことになってしまう。より早く効力を発揮するブロックでそれまでの被害を最小限にしよう。
テイクダウン (サイト閉鎖措置) 狙い
テイクダウンというのは、サイトの閉鎖措置が取られることである。実質的に、詐欺サイト本体が消滅することを意味する。こうなると、ブロックするためのツールを使用しているユーザもそうでないユーザも、当該サイトを閲覧することはできなくなる。テイクダウンを目的とする場合、まずは通報先を選ぶ必要がある。関係ないところに通報しても「うちで面倒見てるサイトじゃないので何もできません」となってしまう。候補となるのは、以下のようなところの窓口だ。
- ホスティングしているクラウドベンダー
- 配信用に使っているCDN (Content Delivery Network)。Cloudflareなどがよく使われる
- 独自ドメインの場合はドメインレジストラ
まずは、URLを見て、大手クラウドを使っている場合はそこの窓口に通報。
クラウド / ホスティング
- AWS系 : 詐欺サイトのURLが
https://*.*.amplifyapp.com/の場合は Amazon Services Support に通報しよう。対処が決まるとメールで知らせてくれる。 - Microsoft : さきほど紹介した “Report unsafe site” とはまた別に、Microsoftのサービスを悪用した案件を通報できる窓口 “Microsoft Security Response Center (MSRC)” がある。そこの “URL – Phishing Website” から通報する。一度に複数通報できたり、証拠ファイルを添付できたりする。URLの種類はいろいろあるけれど、よく使われる順にこのへん。
https://*.core.windows.net/https://*.azurewebsites.net/https://*.azurefd.net/
- DigitalOcean : 詐欺サイトのURLが
https://*.*.cdn.digitaloceanspaces.com/やhttps://*.ondigitalocean.app/ならDigitalOceanを使っている。CloudFlareのCDNとの併用が多い。Report Abuseフォームから “Phishing” を選んで通報。 - Laravel Forge :
https://*.on-forge.comはこちら。ここはメールでabuse reportを受け付けている。ちなみに、Forgeで悪事を働いてテイクダウンを食らったサイトはHTTP 451になるよ!
- Cloudflare Pages: URLが
https://*.pages.dev/の場合はここ。Cloudflareの通報フォーム Abuse form | Cloudflare | The web performance & security company から通報できる。
CDN
CDNをかましているところもある。bot遮断や国別の出し分けなど、クローキング目的かもしれない。使っているかどうかの判定材料は
- レスポンスヘッダに
server: cloudflareとある - urlscan.io でスキャンしたときに “Cloudflare” と出る
Cloudflareを使っている場合は、Abuse form | Cloudflare | The web performance & security company から通報できる。通報内容がオリジン側に転送されることもあるので、そこを考慮して通報文を書くのがコツ。
ドメイン
詐欺サイトに独自ドメインが使われている場合は、ドメインテイクダウンを狙う。WHOISまたはその後継であるRDAPでドメインの情報を取得する。RDAPは色々なところが提供しているが、たとえばVerisignに問い合わせるなら
https://rdap.verisign.com/com/v1/domain/<ドメイン>という具合のURLにGETリクエストを送ればJSON形式で出てくる。”entities” フィールドのうち、”roles” の値に “registrar” を含む要素がレジストラ情報だ。
RDAPでデータが出てこない場合はコマンドラインから
whois <ドメイン>と打つ。”Registrar URL” のところを見るとレジストラがわかる。”Registrar Abuse Contact Email” に通報先のメールアドレスが記載されていることもあるが、実際にはフォームだけで通報を受け付けているところも多いので、実際にサイトを見て確認してみよう。
ここから先は、通報方法がまちまち。メールで受け付けているところもあれば、フォームを設置しているところもある。記入すべき情報の種別や添付の可否もさまざま。通報が通って「こいつは確かに悪事を働いている」という判断が下り、利用制限されると、ドメインステータスがClientHoldなどになる。WHOISするとこんな内容が返ってくる。
Status: client transfer prohibited, client holdドメインレジストラの対応はさまざまだ。対応の早いところはとても早いのだが、不正への対応に消極的なところや、通報が届いたかどうかもわからないようなところ、そもそもサイトにつながらないところもある。時差が影響する場合もある。たとえば米国なら、営業時間が始まるのは日本の深夜だ。
通報のときに役立つ小技
通報の際に役に立つかもしれない話をいくつか挙げておく。
通報文に盛り込みたい内容
通報は必ず通るとは限らない。詐欺師も悪知恵を働かせて検出逃れを行っているため、「証拠不十分」となってしまうことも多い。エビデンスとして添えたスクリーンショットも100%信用されるわけではないだろう。なるべく通る可能性が高くなるよう、通報文には次のような情報を盛り込んでおくと良い。通報文はAIが読む可能性が高いので、重要キーワードはしっかり含めたい。
- 侵害されているブランド。MicrosoftとかAppleとか。ブランドの詐称 (brand impersonation) はそれだけでも重大な悪事である。
- かけさせようとしている電話番号。同一グループによって運営されているサイトの関連性を検証するのに役立つだろう。
- 悪事の種類をフォームで選ばせるタイプもあるが、それがない場合には「テクニカルサポート詐欺である」ということが伝えるため、日本語なら (技術) サポート詐欺、英語ならtech support scamというキーワードを入れよう。広告からの誘導であるということも書くといいかもしれない。
- なかなか自動検出されないタイプのものだった場合は、検出逃れのテクニックについて技術的観点からの情報を書いておく。ChromeならGeminiに訊けばさくっと通報ポイントを教えてくれる。
- 再現条件。自分がどこからアクセスしたか (国レベルでいい)、OSやuser agentや時刻。詐欺サイトは訪問者や時間帯によってコンテンツを出し分けするクローキングを行っているので、再現条件は詳しいほど良い。
- urlscan.io で悪性判定が出た場合は、スキャン結果のURLを添えると参考になるかもしれない。検証の時点ではすでに悪性挙動をやめてダミーページを見せるなどしていた場合でも、さっきまで一般ユーザに見せていた内容がすべて残っている。
defang
クラウドベンダーやドメインレジストラには、メールだけで通報を受け付けているところがある。そんなときによくあるのが、「通報メールがセキュリティシステムに引っかかって遮断されてしまう」というトラブル。
無理もないことだ。悪性URLてんこ盛りで、HARにも詐欺サイトのテキストがそのまま含まれている。フィッシングメールと区別がつかない。
そんなことにならないように、URLは “defang” (「牙を抜く」の意) すると良い。たとえば、
https://scam.example.com/だったら
hxxps://scam[.]example[.]com/にするわけだ。”https” は “hxxps”に、”.” は”[.]” に変えるだけ。昔ながらの「h抜き」のようなものだ。
基本的にドメイン部分だけdefangすればOKだが、パラメタに更にURLが含まれているような場合はそこも処理しておくという手もある。
この方法は、日頃ネットの脅威を取り扱っている人なら必ず通じる共通のテクニックだ。SNSなどで注意喚起のために危険なURLを晒す場合も使う。
メディアにできること
ここまでは一般ユーザがWeb閲覧中に遭遇した広告を通報する方法を解説した。つぎは、サイト管理者が自分のサイトに悪質な広告がでないようにできることを解説する。詐欺広告がサイトに出る前にメディア側でブロックすれば、詐欺広告がユーザの目に触れる機会が無くなる。そのために何ができるか考えていこう。ユーザを守り、メディアを守ろう。AdSenseでの対処法を紹介する。
AdSenseにはブロック機能があり、ブロックできる単位は
- 広告 (単体)
- ドメイン
- 広告のカテゴリ
- 広告アカウント
- 認定バイヤー
である。
昼間が勝負
詐欺にも「営業時間」がある。たいていは朝の10時から夕方の18時頃までであり、その時間帯に広告が集中投入され、その日のうちに「使い捨て」される。18時以降では後手になってしまうので、できれば日中に対応したい。
キーワードリストを用意しておく
「広告レビューセンター」では指定した語句で詐欺広告に使われがちな用語やURLの一部を検索条件として登録しておくと広告審査が捗る。
OR検索は、 “|” でつなげばできる。”or” では駄目なようだ。特にドキュメント化されてはいないので裏技かもしれないが、2026年6月の時点では使えた。たとえば、こんなクエリを保存しておく。
年金 | 続きへ進むにはこちらをクリック | ビデオ | amplifyapp | ondigitaloceanこれで、検索一回でさまざまなタイプの詐欺広告を見つけることができる。善良な広告も一緒に引っかかるので、目視でのチェックは必要。
カテゴリをブロック
特定のカテゴリを狙って大量に詐欺広告が出稿される場合がある。そんな場合は、当該カテゴリを丸ごとブロックして防衛するという手もある。
一時期、ファッション通販サイト風の詐欺が猛威をふるった時期がある (参考記事 ファッション通販風の広告からサポート詐欺サイトに飛ばす手口を観測した)。それらはほとんどが「アパレル」カテゴリとなっていたため、私は自分のサイトで「アパレル」カテゴリをブロックした。効果はあったが、巻き添えでブロックしてしまった善良な服屋さんには申し訳ない。
しかし、最近は、同一の詐欺グループによるものと思われる広告がさまざまなカテゴリに出稿されている。バナーやダミーページもそのジャンルに合わせた架空のものを生成AIで作っているようで、こうなってくると、カテゴリのブロックでの対処も難しい。
ドメインブロックのポイントと限界
広告はドメイン単位でブロックできる。同じドメインの詐欺広告は二度と出なくなる。同じランディングページで別の広告を続々と投入してきたり、複数の広告アカウントを使って大量の広告を投入したりするケースがあるので、確実にブロックしたければドメインブロックを使うのがいい。
しかし、Adsenseの場合、ブロックできるドメインは500個までという制約がある。日々湧いてくる詐欺広告をドメインブロックリストにバンバン追加していくと、この枠はすぐに使い切ってしまう。しかし、詐欺に使われるドメインはたいてい短命だ。通報によってテイクダウンされる場合もあるし、詐欺師が自ら使い捨てることもある。ときどきドメインブロックリストを見直し、すでに消滅したものはリストから外すことで枠を回復させることができる。
ドメインをブロックすると、サブドメインも一緒にブロックすることができる。たとえばexample.comをブロックしたならば、hoge.example.comもfuga.example.comもブロックできる。そうなると、詐欺にしばしば使われるAWS AmplifyやDigitalOcean、Herokuなどをまとめてブロックできないだろうか? amplifyapp.comをブロックすれば一網打尽にできるのでは……という発想になるのだが、それができない。大手クラウドのURLはトップレベルドメインに準ずるものとしてブロック不可能なのだ。こういったサービスを使っている善良な広告主を巻き添えにするわけにはいかないということだろうか。
注意すべきタイプが、オープンリダイレクト型。前編でも触れたが、全く無関係のドメインのリダイレクト用URLをランディングページとして設定するパターンがある。
https://www.example.com/hogehoge?redirectURL=詐欺サイトのURLこんな具合で、まっとうなサイト (ここではwww.example.comの部分) のリダイレクトプログラムのパス (ここでは /hogehoge ) をLPとして登録するものである。これを見て、勝手に使われてしまったwww.example.comを悪質ドメインであると勘違いしてブロックしてしまうと、今後www.example.comのまともな広告が配信されるチャンスがなくなってしまう。メディアにとっても損だし、詐欺師のせいで理不尽なブロックをされてしまう善良なサイトも気の毒だ。
こういうのは「認証コードを含んだファイルをランディングページのドメイン配下に設置してもらい、所有していないドメインを勝手にランディングページに指定できないようにする」といった対策をぱっと思いつくのだが、楽天や食べログになどにある「自分の店」を宣伝したり、Facebookの企業ページに誘導したりするのが難しくなるなどデメリットがあるのだろう、なかなかそうもいかないっぽい。
いろいろ
2026年6月の時点で書けることを書いた。この状況は数ヶ月経てば変わっているだろう。最後に、思うことをつらつらと箇条書きにしていく。
- 悪用されがちなJavaScriptの
requestFullscreen()などは、多くのブラウザでは発動にユーザインタラクション (mousemoveやclick) を必要とするが、それだけでは弱い。オプトインにしてもいいかもしれない気もするが、それはそれで「パーミッションダイアログ疲れ」のようなものにつながり、ユーザの判断力を低下させるかも? - 詐欺師がたった1日の詐欺サイトを作るためにドメインが取得され、空間が汚染されていくのも問題だと思う。こういったドメインは意味のある単語を組み合わせたりもじったりしたものが多く、将来、誰かが良い会社名やサイト名を思いついても、「ドメインの評価が汚染されているから」という理由でなネーミングを諦めることが増えるかもしれない。
- Google広告を見ていると、詐欺を撲滅したりブロックをしやすくすることよりも、ユーザによるブロックの巻き添えや審査時の誤判定で善良な広告主が損害を被ることを避けようとしているイメージ。この二つはどうしてもトレードオフになるのだが、もうちょっとバランスを犯罪抑止側に寄せてもいいんじゃないかな。
- 「こうすれば防げるのになぜやらないんだ?」みたいなアイディアは色々思い浮かぶけれど、どれも同時に悪用の余地があったり、重大な副作用があったりする。
- 自分は広告ブロッカーを使わないけど、他人が使うのは仕方ないと思っている。広告ブロッカーを正当化しないことは、もう難しくなっている。
- Web広告が死んだ世界というのを想像してみる。すでに死にかけているのかもしれないけれど。「ユーザにとって有益で」「頻繁に利用することを想定していないのでサブスクリプションモデルが適しておらず」「しかし赤字を出してまで運営するわけにはいかない」……そんなサイトが死んで、Webの多様性が死ぬ。ペイウォールの外に残るのは不毛の荒野。とても悲しい。
- ChromeのEnhanced Protectionはけっこう伸びしろがありそう。まだまだ検出精度は高くないが、従来のやり方では追いつけなかったようなタイプの詐欺にも対処できる。多少計算リソースは使うが、邪魔にならないようだいぶ抑えている印象。
おわりに
「嘘の画面で騙し、送金させる」という一見シンプルなサポート詐欺ではあるが、見た目に反して、人と計算機を欺くためのたくさんの悪知恵が投入されている。そして、それを防ごうとする側との攻防はなかなか終わらない。それでも、お気に入りのサイトに詐欺広告が出てしまったのを見つけた場合にひと手間かけて通報すれば、詐欺の影響を少し減らすことができる。そういった通報が蓄積されていけば、詐欺広告や詐欺サイトはすぐに削除され、検出プログラムも賢くなり、詐欺は割に合わないものになっていくだろう。
サポート詐欺は、被害者から金を巻き上げるのみならず、長年インターネットの多様性を支えてきた広告プラットフォームに巣食い、豊穣なWeb文化を蝕む。駆除以外の選択肢はない。