「いそのー、『偽サイト』とか『コピーサイト』とか言うのやめようぜー」

地方自治体の偽サイト相次ぎ出現 Bingなどで検索上位に 不審なURLに注意 (ITmedia)

先週、また所謂「偽サイト」「コピーサイト」がネットニュースに飛び交いました。

まず結論から申し上げると、今回の件についても「偽サイト」「コピーサイト」というものではなく、過去の事例同様リバースプロキシ(代行表示)サイトであると言えます。

「偽サイト」ではない?

分類上、下表のように考えるべきだと思います。

偽サイト悪意ある者が訪問者を騙す目的で無断複製を行ったサイト
(詐欺行為やコンピュータウィルス等による攻撃など)
コピーサイト第三者が無断複製を行ったサイト
(主にアフィリエイト掠め取り目的)
リバースプロキシサイト主に検閲回避目的で他サイトのアクセス代行をおこなうもの

幾つかのネットニュースの情報を元にすると上記分類上は「偽サイト」とすべきものに思えますが、挙動を考えると「リバースプロキシサイト」に分類すべきものです。

リバースプロキシサイトは次の図のように、目的のサイトからアクセスを拒否されていたりするなどでアクセス元を隠匿するために代理でアクセスしてもらうためのものになります。

proxyfly figure.2
リバースプロキシサイトの挙動(「ProxyFly」がリバースプロキシサイト)

実際、ニュースで報じられたであろうサイトから自らの管理するサイト(塩漬け状態のドメインで一般的なアクセスは皆無)を表示するように試みたところ、リバースプロキシサイトからと考えられるアクセス(HTTPのGETリクエスト)が確認できました。

来訪者を騙す目的のある「偽サイト」や「コピーサイト」の場合、その存在を本来のサイトに知られるわけにはいかないので、コンテンツを完全に複製します。このことから、リバースプロキシサイトは偽サイトやコピーサイトとは別物と考えるべきです。

ならばどう呼ぶべきか…意図しない複製…ドッペルゲンガーとか?

リバースプロキシサイトの安全性

では、代行アクセスをするリバースプロキシサイトは安全なのか。
それはと回答すべきです。

なぜなら、リバースプロキシサイトの管理者側でコンテンツに様々な情報を付与し改ざんする事が可能だからです。また、Cookie等の認証情報についても、リバースプロキシサイトが自由に盗聴・改ざんすることが可能です。

当然相手方との直接アクセスするわけではないので、仮にリバースプロキシサイトがSSL対応していたとしても、あくまでそれは利用者⇔リバースプロキシサイト、およびリバースプロキシサイト⇔目的サイトそれぞれの間でSSL暗号化されるという話であり、リバースプロキシサイト自体はその通信(リクエストおよびレスポンス)内容を読み取る事は容易です。

先に述べたとおりこのリバースプロキシサイト経由でのアクセスを試みた際、本来そのアクセスではテキスト文字しか返さない筈なのに、google-site-verificationタグやスクリプト呼び出しコードが付与されていました。
検証はしていませんが、幾つかのネットニュースで報じられている悪意あるコンテンツは、呼び出されたスクリプトの中に含まれていると考えられます。

このようにリバースプロキシサイトは盗聴・改ざんが非常に容易であるため、認証情報を必要としない第三者に知られても差し支えない情報を取得するためにやむを得ない場合を除いては利用するのは控えるべきでしょう。

コピー「された側」の注意喚起にもの申す

コピーされた側の告知を見ると、正直頭を抱えたくなる記述が散見されます。

今後、このコピーサイトからページ検索を行うと、ウイルスに感染する可能性もあることから、本市のホームページにアクセスする場合は、念のため、URLが正しいものとなっているかご確認ください。
https://www.city.nagano.nagano.jp
正しいURLは、文頭の文字列が上記の表示になります。

長野市公式ホームページのコピーサイト(偽サイト)に注意してください

とか

藤沢市公式ホームページを利用する際には、URLの先頭の文字列がhttps://www.city.fujisawa.kanagawa.jpになっていることを確認してください。

【ご注意ください!!】藤沢市公式ホームページのコピーサイト(偽サイト)について

とか…

いやいや…それだと「https://www.city.nagano.nagano.jp.example.evil/…」みたいなドメインにされた場合愚直な利用者が騙されるでしょうに…(実際2014年の例がそれ)
そういう意味ではまだ徳島市のホームページにおける注意喚起

注記:下記が徳島市ホームページのURLです。下記URL以外は偽サイト等の可能性があるためご注意ください。
■徳島市ホームページ
https://www.city.tokushima.tokushima.jp/

徳島市ホームページの偽サイトにご注意ください

は最後スラッシュ(/)で終わっているのでまだマシです。