MacなのにWindows Defenderの警告が出た件

【話題についての説明】
言わずと知れた、詐欺サイト。まずは、この画面。

Mac OSに表示されたWindowsの警告画面

【最初に、結論と対策】
こういう画面が出て、ブラウザの「戻る（←）」が出ていたら、とにかく「戻る（←）」をクリックしましょう。
「画面の再読み込み」が出ても、気にせずにとにかく戻る。そうしたら、「さっきのあれは、何だったの」という程度になります。間違っても、あわてて「ユーザ名」と「パスワード」を入力すべきじゃない。さらに言えば、そこから先、クレジットカード情報とか、色々と入力させるかも知れないけれど、全部無視すべき。
ただ、Windowsユーザがこの画面に直面したら、慌てる気持ちはよくわかる。でも、落ち着いてください。

もし、Windows Defenderがガチでこの画面を出しているなら、そもそも、ブラウザのボタンなど使えるはずがない。ブラウザの戻るボタンが生きてるなら、気にする必要はないと、私は考えます。

この画面、冷静によくみてみると、例えばこの部分

なんとなく、切り貼りした時に消し残した痕跡が、、、

さらに、よくみると

Windowsのの上下に、青色の境界が見える。

文字の背景色が「似た色」だけれど貼り付けたような境界が見える。明らかに、よく似た画面を手書きで合成している。

もう一つ、結論として「なんとなくボケて見えるリンクボタン」は、疑った方がいいかも知れない。
続いて状況説明をしますが、入口はこの画面だった。

「続きを読む」がGoogle Adsで、かつ、文字が微妙にボケてる。
画像を拡大するとすぐにわかる。

(i)にマウスを移動させると、Ads by Googleが出る。

ということで、状況を説明します。

【状況説明と、追跡】
仕事に区切りがついた。メールを開く。特に急ぎの件とかは、来てない。よしよし。
MicrosoftのIDにしているメールアドレスに、ニュース配信が入っていた。
大谷翔平さんが12億円の邸宅購入？ふ〜ん。
その下のこれ、

MSNの配信メール

え？新垣結衣さんが星野源さんの"W不倫"を否定？って？と、、、。
たぶん、シリーズのうちの1回か2回しか見ていないけれど、エンディングのダンスというか星野さんの歌が面白くて、印象に残っている。（ストーリーは全くわからない。すみません）
あれ、「逃げ恥」で共演したって話だよね？たぶん。あの星野さんがW不倫って何？と、思って、この記事をクリック。

ざっと、すぐに記事は読み終えた。そうか、このガレソって人がアクセス数を稼ぎたくて、適当なことを書いたのかな？
と、いうことで、まずは、星野源さんの好感度は維持。

それにしても、火のないところに煙を立てて、そんな、すぐにバレるようなことして、危なくないの？このガレソさんって人？と思った。
で、何か関連画面をクリックした、と思う。今にしてみたら、おかしいと思ったのは、このリンク先

【画像・写真】星野源とNHKアナのW不倫疑惑に「事実はひとつもない」新垣結衣がXで怒りの完全否定、滝沢ガレソ氏の問題ポストはインプレッション1億回超えに | 週刊女性PRIME

今(このページを執筆している6時間後)でも同じ画面が出るけれど、この画面

記事ランキングに、いきなり「続きを読む」が出ている。見出しすらない。

このちょっとボケた方の「続きを読む」をクリックしたら、冒頭のWindows Defenderを名乗る画面が表示された。

改めて、これ。細かくは、画像のリンクをコピーして拡大表示して見てください。

改めて、Macに表示されWindows Defenderの画面

左上に写り込んでいるのは、私のMacの画面に鎮座しているアナログ時計。
左下には、ページのURLも出ているが、さすがに、何も考えずにいきなりこれが出たので、たぶん1秒くらい、固まった。
で、すぐに「待てよ、MacになんでWindows Defenderの画面が出る？」と、我に返る。あり得ないでしょう？
それで、すぐにスクショを取った。
一回だけ、戻って、再度同じ操作をしたら、同じこの 偽装Windows Defenderの画面が出た。（3回目は、この画面を出せなかった。）
一度戻った時の、リンク元の画面で、クリックしたあたりを精査してみる。

「続きを読む」ボタンが、微妙にボケている。加えていれば、画像左下のURLも完全にボケている。なんとなくだが、最後は or.jp に見える。
ということは、この部分は「続きを読む」のボタンではなく、ボタンが表示された画像を切り取って貼り付けて、リンクにしているように見えた。
すぐに、このページのソースを確認した。

おそらく、HTML記述の位置的に、私がクリックした元部分は、たぶん、これ。（改行を入れて、整形した。）この同じリンクが、見つかっていない。なんでだろうか？

<div class="article-photo-link">
  <a data-label="photoclick1" href="/articles/photo/32102" 
      class="article-photo-link__txt">
  【写真】ガレソ氏の告発からネットで特定された、不倫相手とされる女性アナウンサー
  </a>
</div>

何もおかしいところがない。
[Ads by Google]の表示は、マウスオーバーの現れ方の感じから、おそらく純正。
まさか、Googleが、詐欺サイトのURLを「広告」として表示したか？Google Adのチェックって、そんなに甘いの？

改めて、偽装Windows Defenderの画面の左端を見た。え？cloudfront.net じゃん？

表示されたページのURL（見た目はWindows Defender）

この https://ecocabinetry.org が おそらく cloudfront.netのサービスを使って、かつ、ネットでのアクセス数を増やすために、Google Adsに申し込みました？ってことかな？

正しいURLで表示されるページは、これ。

"Sustainable Wood Meets Artisan Craftsmanship: Bespoke Cabinetry Workshop Pioneers Eco-Friendly Luxury"

ソースを読んでみると、いわゆる「WEBページ(ホームページ)作成ツール」を使って、直接HTMLとして書かれたもの、で、static page（何回アクセスしても同じ内容が表示されるページ）だとわかる。ということは、もしかしたら、相当前に作成され、作成者が最初にこのページを書いてから、放置されたもののようにも見受けられる。

可能性として考えられるのは、https://ecocabinetry.org/ がハッキングされて、一定確率で冒頭の詐欺ページを表示するように書き変わってしまっている、のか、と、まず思った。
この「一定確率」でと思った理由は、常に詐欺ページを表示するようなら、Google Adのチェックを通らないと思えたから。不確かだけれど、Google Adでは「自動チェック」だけではなく、人手によるチェックも行なっているように自分は考えている。（そういう説明がどこかにあったかも知れない。）

不勉強で申し訳ないけれども、もう一つ、Amazonのcloudfront.netへの申し込みで、何らかのトリックがあったのか？

リンク元の広告バナーを表示した「週刊女性PRIME」のサイト、おそらく、アクセス数はかなり多く、Google Adsへの支払い額がそこそこ高くないと、このページへの広告バナーは表示してもらえないのではないか、と考えた。
だとしたら、大変失礼ながら、 https://ecocabinetry.org/ の、内容から考えたらかなり地味なページを Google Adsに掲示するために、そんなに高額の支払いをするもんだろうか？とも考えた。

だとしたら、この ecocabinetry.org さんは、詐欺サイトの偽装用の看板に使われただけで、cloudfront.net への申し込みで、何らかのトリックが使われて、詐欺サイトを Amazon -> Googleのサービスに載せる余地があったのか？とも考えた。
ここで、Amazon cloudfront.netの説明をちょっと深入りしてみる。

そうしたら、こんなページを見つけた。

CloudFrontへの”cloudfront.net”ドメインでのアクセスをCloudFront Functionsでブロックしてみた | DevelopersIO

なんだか、この Distribution の設定のところで、「一定確率」で、詐欺サイトと、偽装用のページとを切り分けるトリックが使えそうに思えた。

ただ、Google Adを騙すためには、やはり「一定確率」の設定が必要じゃないか、と思えたのだけれど、ざっくり見た感じそんな設定はないし、ということは、そこそこの頻度で cloudfront.net の設定を書き換えている、のかも、知れない。
と、ここまで追求して見て、「なんとなく、できそうかも知れない」と思ってしまった。

いや、決して真似して詐欺サイトを立てようと思っている訳じゃなく、どうやったら、Google Adにこんな詐欺サイトへのリンクバナーを表示させられるんだろうかと、そこが疑問だった。GoogleさんもAmazonさんも、押されてもビクともしないネットの巨大企業だから、こうした「悪用事例」が明白になれば、なんらかの対策を立ててくれるに違いないとは考える。ただ、「悪用されている」ことの実証は、結構難しいかも知れない。

実を言えば、決して暇を持て余している訳ではないし、今のところ、自分が関係するドメインをGoogle Adに表示させる必要がある仕事をしている訳でもない。ざっと表面的に「何が起きていたんだろうか、どうやったらできるんだろうか」的好奇心で、推理を楽しんでみたけれども、冒頭の画面の表示が、ネット犯罪の詐欺ページであることだけは間違いない。

今更ながら、悔しいと思うのは、冒頭の表示ページのソースコードをキャプチャするのを忘れたこと、だろうか。後から同じページを出そうと何度か試みたのだけれども、同じ手順では表示させられなかった。
台所でゴキブリを見つけて、捕獲して外に出そうと思ったその時には捕獲の道具がなくて、捕獲の道具を用意したら、そのゴキブリがどこかに姿をくらましていた、なんていう感じだろうか。
（余談ながら、主義主張で、私自身はあらゆる生き物の生命は、可能な限り粗末にしないように心がけてはいまして、だから「殺虫剤」ではなく「捕獲器具」ということでした。そこのところは、あまり気にしないでください。）とにかく、悔しい、逃げられた。

とにかく、こんなことが起きているよ、という「紹介」の意味で、辿れる範囲で辿った内容を書いてみた。

どなたか、お役に立てるようなら、お役に立てていただけたらと思う。
以上です。