悲報：紀州鉄道のWebサイトが「Google Chrome」に“近鉄の偽物じゃね？”と言われてしまう

紛らわしいURLを警告する“safety tip”

　「Google Chrome」には紛らわしいURLを警告する機能が備わっており、たとえば、“google.com”へアクセスするつもりで“go0gle.com”というWebサイトへアクセスしようとすると、“google.com”ではないのかと注意を促してくれます。フィッシングサイトへ誘導しようとする攻撃からユーザーを守ってくれるというわけ。

　しかし、そんな便利機能もたまに誤動作する模様。最近は、紀州鉄道のWebサイト（kitetsu.co.jp）が“近鉄（ki n tetsu.co.jp）の間違いじゃない？”と指摘される悲しい事故もあったのだそうです（もう修正されたようで、編集部では確認できませんでした）。

紀州鉄道のサイト、Chromeに「近鉄の偽サイトじゃないですか？」って言われてて草pic.twitter.com/8dbhp6495v

— やきぱな / Panaki (@yakisoba_panaki)January 9, 2021

　筆者はこのタイプの警告プロンプトをまだ見たことがないのですが、最近になって導入された“safety tip”と呼ばれる機能のようです（「Chrome 86」からこれを制御するエンタープライズポリシーが導入されているとのこと）。既存の“Lookalike”インタースティシャル警告と同様、他のサイトと酷似したURLに対しヒューリスティック（経験則の・試行錯誤的な）ベースの警告を行います。

既存の“Lookalike”インタースティシャル警告。フィッシングサイトにジャンプする前に挟まれる

　近畿日本鉄道（きんてつ）といえば、2府3県・総延長500kmにも及ぶ路線網を抱えた一大私鉄。伊勢湾台風や新幹線とガチで戦った歴史を持ち、奈良と三重を実質的に支配する巨大グループ企業です。

　かたや紀州鉄道（きてつ）は保有路線が日本で2番目に短い（2.7km）万年赤字のローカル私鉄。鉄道会社とは名ばかり（？）で、実態はリゾート開発が主体の不動産会社です。規模・知名度ともに近鉄とは比べるべくもありませんが、それにしても“偽装”呼ばわりはちょっとかわいそうですね。

　ちなみに関西にはもう一つ、滋賀に“近江鉄道”というローカル線があって、かつては“きんてつ”とも略されていたそうですが、最近では近鉄が有名になり過ぎたこともあり、混同を避けるため正式名称で呼ばれることが多いです。Webサイトのドメインも“ohmitetudo.co.jp”となっており、「Chrome」に近鉄の偽物呼ばわりされることはなさそう。

　この事例のほかにも、実際にちゃんとあるのに偽物使いされてしまうケースはまれにあるようで、調べてみると京都産業大学（www.kyoto- s u.ac.jp）が京都大学（kyoto-u.ac.jp）の偽物と判定されたケースが見つかりました。

Chromeに偽装を疑われる京産大...pic.twitter.com/A7g9HSzSbp

— Y. I. (@yi_chemist)December 11, 2020

　なかには七十七銀行（77bank.co.jp）のフィッシングサイトが検出されるも、“もしかして”とサジェストされたWebサイトもフィッシングサイトだったケースもあり、この警告機能はまだまだ発展途上なのかなといった印象を受けました。

Chromeが不審サイトかも？って教えてくれたけど「もしかして：」に記載されているドメインもフィッシングサイトです...#phishingpic.twitter.com/z7Iq18oGmG

— はざ (@haza3g)January 8, 2021

　 教訓： 警告機能は便利だけど、それに頼りっきりにせず、URLはちゃんと自分の目で確かめよう！