［米国］【NCSU調査】
ポップアップ表示に対するユーザーの反応、6割が「OKボタンを無造作にクリック」

セキュリティ専門家は「偽のポップアップにだまされやすい」と懸念

（2008年09月26日）

　Webブラウザ上でポップアップ・ウィンドウが突然表示されたとき、ユーザーはどう反応するのか。米国ノースカロライナ州立大学（NCSU）の調査によると、ユーザーの多くはお決まりの反応をするそうだ。すなわち、ポップアップ・ウィンドウをすぐさま閉じるために「OK」ボタンをクリックするのだという。

　同大学の心理学者たちは、42人の大学生を対象にした実験で、ブラウザ・ユーザーが偽の警告メッセージと本物とをきちんと区別できないことを発見した。実験結果によると、被験者の3分の2近く（63％）が、ポップアップ警告メッセージが表示されるたびに、それが偽物がどうかに関係なく、ウィンドウを閉じるための「OK」ボタン（もしくはそれに該当するボタン）をクリックした。

ポップアップ・ウィンドウの例（右下）

　「多くのブラウザ・ユーザーは、ポップアップ・ウィンドウの視覚要素が本物と偽物で異なることを認識することなく、このスタイルの攻撃に引っかかってしまうだろう」と、同大学の研究者は結論づけている。ちなみに、今回の実験結果は、ニューヨークで開かれた学術会議「52nd Annual Meeting of the Human Factors and Ergonomics Society」（9月22-26日）でも発表された。

　ブラウザ・ユーザーはポップアップ・ウィンドウを即座に除去すべきじゃまなものと見なす傾向が強いと、同大学の心理学教授であるマイク・ウォゴルター（Mike Wogalter）氏は述べている。「彼らは、（ポップアップ・ウィンドウが）偽物かどうかなんて全然考えていないのだ」

　ユーザーのこうした傾向はセキュリティ専門家に懸念を抱かせている。偽のポップアップ・ウィンドウによって好ましくないサイトに誘導されるケースが増えるからだ。

　偽のポップアップ・ウインドウを無造作にクリックすると、意図していないサイトに誘導されるだけでなく、さらに厄介な状況に陥るおそれもある。

　これは、ある有名な詐欺の手口だ。おもしろいビデオ・クリップへのリンクを組み込んだ電子メール・メッセージが送られてくる。だが、そのビデオ・クリップを見ようとすると、「視聴には特別なコーデック・ソフトウェアのインストールが必要です」と告げるポップアップ・メッセージが表示される。

　お察しのとおり、ここでインストールされるソフトウェアはトロイの木馬のダウンローダである。この手口にうっかり引っかかってしまうと、ユーザー名やパスワードを追跡するキーロガーなどの悪意あるソフトウェアが、このユーザーのPCに埋め込まれることになるわけだ。

　紛らわしいのは、まともなWebサイトでも、怪しいポップアップ・ウィンドウが表示されるケースが増えていることだ。多くの場合、それらはオンライン広告ネットワークを通じて配信されていると、米国Sunbelt Softwareのマルウェア・リサーチ担当ディレクター、エリック・ハウズ（Eric Howes）氏は指摘する。

　「数年前なら、こうした偽のポップアップ・ウィンドウが表示されるのは、インターネット上の一部のいかがわしいサイトだけだった。それが今では、正規のサイトでも同様に表示されるようになった。これは、本当に頭の痛い問題だ」（ハウズ氏）

　米国ハーバード大学（Harvard University）の助教授、ベン・エデルマン（Ben Edelman）氏も、欺瞞的なポップアップ表示が今や大問題であるとの見方に同意する。「こうしたポップアップ・ウィンドウは急速に広まっている。特によく表示されるのは、各種ニュース・サイトへの一歩手前だ。MySpaceにアクセスしたときや、Google捜索を行って結果をクリックしたときなどに、この種の広告に出くわす可能性が高い」

　偽のメッセージだと気づかないのは、もちろんユーザーのほうにも落ち度がある。だが、あまりに多くの警告メッセージでユーザーを悩ませてきたソフトウェア開発元にも責任があると、NCSUのウォゴルター氏は考えている。「ユーザーをそのような状況に追いやるべきではない」と同氏は言う。

　NCSUの実験によると、最善の行動を選んだ被験者は全体の3分の1に満たなかった。ここでの最善の行動とは、ウィンドウ右上の「×」ボタン（ウィンドウを閉じるボタン）をクリックし、ポップアップ・ウィンドウを閉じることだ。

　しかし最近では、この「×」ボタン自体も偽物であることが多い。Sunbeltのハウズ氏は、「この手のウィンドウは、まるで不思議の国のアリスのように、すべて思ったとおりの反応をしない可能性がある」と警告を発している。

　ならば、ユーザーはどう反応すべきなのか。ポップアップ・ウィンドウが非常に気になる人には、そのウィンドウを画面下のWindowsタスク・バーから閉じることを勧める。また、もっと徹底した行動をとるべきと考える人に対しては、「Webブラウザをまるごと強制終了したほうが安全なこともある」と、ハウズ氏はアドバイスしている。

(Robert McMillan／IDG News Serviceサンフランシスコ支局)