「ホワイトページ」や公式サイトへのリダイレクトを禁止する理由: 「クローキング問題」の解説
クローキング、ホワイトページ、TDSリダイレクトは、現代のフィッシングインフラの根幹をなすものです。これらを利用しているサイトはすべて利用停止処分となります。その理由と、その裏側を覗いてみると何がわかるのか、ここで解説します。

よく聞かれる質問
毎週、私たちには同じような訴えが寄せられます: 「私のドメインを報告したようですが、確認してみると、公式ウェブサイトにリダイレクトされるだけです。ここに悪意のあるものは何もありません。」
あるいは、別の表現としては: 「そのページは、単に仮想通貨に関するブログ記事に過ぎません。フィッシングではありません。」
これが混乱を招く理由も理解できます。フラグが立てられたドメインにアクセスした際、まったく普通のページが表示されたり、正規のサイトへ問題なくリダイレクトされたりすると、そのフラグが誤りだと考えてしまうのは当然のことです。しかし、その正常なページは、当社の検知システムの不具合によるものではありません。 それが攻撃だ。
この記事では、クローキングの背後にある技術、「ホワイトページ」が存在する理由、Keitaroのようなトラフィック分散システム(TDS)が被害者をどのように誘導するか、そしてPhishDestroyがこれらのパターンをすべて、例外なく、悪意のあるインフラとして認定する理由について解説します。
もし、ご自身のドメインがフラグ付けされ、それが誤りだとお考えでこの記事をお読みになっているのであれば、ぜひ最後までお読みください。また、当サイトでは 不服申立て手続き 正当な誤検知の場合もあります。しかし、私たちの経験上、クローキング行為が見られるドメインは100%悪意のあるものです。
ウイルス対策システムが業界に革命をもたらした経緯
10年前、フィッシングの手口は単純だった。攻撃者はドメインを登録し、偽のログインページを作成して、そのリンクを被害者に送信するだけだった。セキュリティベンダーは、やがてそのURLをクロールしてフィッシングページを確認し、ブロックリストに追加した。そのドメインは数時間から数日以内に無効化された。
その後、業界の状況は改善されました。Google Safe Browsing、Microsoftの「SmartScreen」、そしてVirusTotalなどのプラットフォーム上で稼働する100以上のウイルス対策エンジンが、ほぼリアルタイムでURLのスキャンを開始しました。ブラウザレベルでの警告により、クリック率は劇的に低下しました。ホスティングプロバイダーは、自動テイクダウンのプロセスを導入し始めました。フィッシングページが公開されてからブロックされるまでの時間は、数日から数分に短縮されました。
フィッシング詐欺の運営者たちはある問題に直面していた。それは、ページを展開するよりも早く、そのページが検知されてしまうことだった。彼らは、フィッシングコンテンツを実際の被害者に表示しつつ、それを検知しようとするあらゆる自動システムに対しては完全に無害に見えるようにする方法を必要としていた。
答えは クローキング.

現代のフィッシングが摘発されないのは、フィッシングページが見分けにくいからではありません。それが見逃されてしまうのは、 スキャナーはフィッシングページをまったく検知しない. スキャナーは、ブログ記事、リダイレクト、あるいは空白のページを検知します。特定の国から、モバイル端末を使って、有料広告を経由してアクセスした被害者は、認証情報収集スクリプトを目にするのです。
クローキングとは実際には何か
クローキングとは、訪問者の属性に応じて異なるコンテンツを配信する手法のことです。フィッシングの文脈において、これはある特定の事象を指します: セキュリティスキャナーには無害なページが表示され、実際の被害者にはフィッシングページが表示される.
フィルタリングは、複数のレベルで行われることがあります:
- IPレピュテーション — 既知のデータセンターのIPアドレス、VPNのIP範囲、およびセキュリティベンダーのIPブロックには、正常なページが表示されます。一般家庭のIPアドレスには、フィッシングページが表示されます。
- User-Agent文字列 — ヘッドレスブラウザ、既知のクローラー(Googlebot、bingbot、Screaming Frog)、およびセキュリティスキャナーが特定され、除外されます。
- 位置情報 — フィッシングページは、対象国からの訪問者にのみ表示されます。それ以外のユーザーには、空白のページが表示されます。
- リファラーヘッダー — 特定のソース(Google広告、フィッシングメールのリンク、ソーシャルメディアの投稿など)からアクセスした訪問者のみが、実際のコンテンツを閲覧できます。
- デバイスのフィンガープリント — JavaScriptは、画面解像度、インストール済みのフォント、WebGLレンダラー、バッテリーAPI、その他のシグナルを確認し、実機とエミュレータを区別します。
- 時間に基づくルール — フィッシングページは特定の時間帯(例:対象タイムゾーンの営業時間内)にのみ有効であり、その時間帯以外はデフォルトで空白のページが表示されます。
- クッキー/セッションの追跡 — 初回アクセス時には白いページが表示されます。特定のクッキー(広告のクリックによって設定されたもの)を持つリピーターには、フィッシングページが表示されます。

洗練された隠蔽システムは、これらすべてを組み合わせています。その結果、インターネット上のあらゆるスキャナーからは完全にクリーンに見えるドメインが実現され、その一方で、標的となった被害者から認証情報を積極的に盗み出しています。
VirusTotalが偽装されたURLをスキャンすると、空白のページが表示されます。結果: 0/93件の検出. Google Safe Browsingがクロールを行い、ブログ記事を発見しました。結果: 事前の警告なし. 被害者は、Googleの広告から自分のスマートフォンで同じURLをクリックします: 彼らは偽のMetaMaskのログイン画面を目にする. これは単なる理論上の問題ではなく、現代のフィッシングにおける標準的な手口なのです。
欺瞞の背後にある手段
クローキングは即興で行われるものではありません。これは、 トラフィック分散システム(TDS). フィッシング攻撃で最も広く利用されているのは ケイタロウ.
Keitaroは、アフィリエイトマーケターが訪問者の属性に基づいてトラフィックをルーティングできるように設計された、正規のアドテック製品です。IP範囲、地域、デバイス、リファラー、ユーザーエージェントなど、上記に挙げたすべてのフィルタリング条件を、導入直後から標準でサポートしています。フィッシング詐欺の運営者は、スキャナーを空白ページへ、被害者をフィッシングページへとそれぞれルーティングするように設定するだけで済みます。
我々の調査結果は、以下の論文として発表された。 TDSのケイタロウ:1,500枚のパネルが露出, 特定された 1,565枚の「ケイタロ」のアクティブパネル フィッシングインフラストラクチャを運営している。1,565のフィッシングページではなく、1,565 制御盤、それぞれが数十から数百ものフィッシング攻撃を同時に展開している。

その他、私たちが遭遇するTDSプラットフォームには次のようなものがあります:
- Binom — CIS地域での運用で人気のあるセルフホスト型トラッカー
- BeMob — IPフィルタリングとボット検知機能を備えたクラウド型トラッカー
- カスタムPHPルーター — MaxMind GeoIP および IP ブロックリストを利用した独自開発のスクリプト
- Cloudflare Workers — リクエストがオリジンサーバーに到達する前に、訪問者の属性を評価するエッジベースのルーティング
これらに共通する点は、それぞれが異なる訪問者に異なるコンテンツを表示するために存在しているということです。アフィリエイトマーケティングの世界では、これを「トラフィック最適化」と呼びます。フィッシングでは、これを 回避.
私たちは、 ケイタロ検出ツール 任意のドメイン上でKeitaro TDSの痕跡を特定するためです。このツールは、Keitaroのインストールに関連付けられている既知のパネルパス、レスポンスヘッダーのパターン、リダイレクトチェーン、およびJavaScriptのシグネチャをチェックします。
「公式サイトへのリダイレクト」というシナリオ
私たちが遭遇する最も一般的なクローキングの手口の一つは、単に公式サイトへリダイレクトするだけのドメインです。その誘い文句はいつも同じです: 「自分で確かめてみてください。単にcoinbase.comにアクセスするだけです。フィッシングなどではありません。」
実際に起きていることは以下の通りです:
公式サイトへのリダイレクトは、そのドメインが無害であることを示すものではありません。 それは、クローキングの仕組みそのものです。 TDSは、この訪問者がスキャナーであると判断し、最も安全な対応策――つまり、スキャン結果に問題が生じない可能性が最も高い対応策――は、本物のウェブサイトへリダイレクトすることであると判断しました。
以下に、サーバーサイドのロジックの簡略化した例を示します:
// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];
function routeVisitor(req) {
const ip = req.headers['cf-connecting-ip'];
const ua = req.headers['user-agent'];
const geo = req.headers['cf-ipcountry'];
// If scanner/bot detected: redirect to official site
if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
return Response.redirect('https://www.coinbase.com', 302);
}
// If not in target geography: show white page
if (!TARGET_GEO.includes(geo)) {
return renderWhitePage(); // Innocent blog post
}
// Real victim from target country: show phishing page
return renderPhishingPage(); // Credential harvester
} 正当なウェブサイトであれば、訪問者を他社のドメインにリダイレクトすることはありません。もし crypto-wallet-app[.]com にリダイレクトされます coinbase.com、そのドメインが存在する理由はありません。本物のCoinbaseのページなら、 coinbase.com. リダイレクトが決め手だ。
「ホワイトページ問題」
「ホワイトページ」とは、クローキングされたフィッシングドメインが、スキャナーや標的ではない訪問者に表示するおとりコンテンツのことです。その名前とは裏腹に、実際に真っ白なページであることはほとんどありません。現代のホワイトページは 完全に機能するウェブサイト 一見すると本物に見えるように仕組まれている:
- 仮想通貨、金融、テクノロジーに関するブログ記事
- 汎用的なSaaSツールの製品ランディングページ
- 信頼できる出版物から収集されたニュース記事
- 「近日公開」といった一般的なメッセージが表示された、保留中のドメインページ
- 検索結果で上位表示されるよう設計された、SEO対策済みのコンテンツ
この最後の点は極めて重要です。ホワイトページは単なる回避手段ではなく――それらは SEOの武器. フィッシングドメイン上に高品質なコンテンツを掲載することで、運営者は2つの目的を同時に達成している。すなわち、検知を回避すること そして 彼らはドメインオーソリティを高め、フィッシングリンクが検索結果で上位に表示されるようにしている。
3段階のSEOポイズニング攻撃
以下は、White Pageを利用したフィッシング攻撃の全ライフサイクルです:
ビルド権限
順位と指数
フィッシングを有効にする

だからこそ、私たちはフェーズ1の段階でドメインにフラグを立てるのです。フェーズ3が発動する頃には、すでに被害が発生しています。フィッシングページが表示されるのを待つことは、被害者が認証情報や金銭を失うのを待つことに他なりません。
アクティブなトラフィックシナリオ:広告とメールキャンペーン
すべての偽装型フィッシングが自然検索に依存しているわけではありません。最も積極的なトラフィック獲得手法の2つは、 有料広告 そして メールキャンペーン、いずれもクローキングの手法を用いてプラットフォームの審査を回避している。
Google Adsのクローキング
当社による調査によると、 BUYTRX ドレイナー・ネットワーク 記録された 55以上のドメイン Google Ads を利用して、ユーザーの財布を空にするようなサイトへのトラフィックを誘導する。その仕組みは次の通り:
- 事業者がドメインをGoogle Adsの審査に提出した。Googleのクローラーは、空白のページ(ブロックチェーン技術に関するブログ)を検出した。 広告が承認されました。
- 「connect wallet」や「crypto airdrop」といったキーワードをターゲットにした広告が配信されています。
- Googleのユーザーが広告をクリックする。TDSは、Google Adsのリファラーからアクセスしてきた個人用IPアドレスを検知する。 お財布を空にするような料理が提供されました。
- 被害者がウォレットを接続すると、事前に署名済みのトランザクションを通じて、数秒のうちに資産がすべて奪われてしまう。
Googleの広告審査システムは、他のあらゆる自動スキャナーと同様、白いページしか認識しません。広告は掲載され続け、運営者は誘導された被害者1人につき、Googleへの支払いを続けています。
Eメールキャンペーンのクローキング
メールゲートウェイ(Microsoft Defender for Office 365、Proofpoint、Mimecast)は、メールの配信前にメール内のリンクをスキャンします。クローキングもこれと同様の方法で処理を行います:
- フィッシングメールには、偽装されたドメインへのリンクが含まれています。
- メールゲートウェイがURLをスキャンします。サーバー側のTDSがゲートウェイのIP範囲を認識します。空白ページを表示するか、公式サイトへのリダイレクトを行います。 メールが送信されました。
- 受信者がメールクライアントからリンクをクリックします。個人用IPアドレス、正しいリファラー、対象地域。 フィッシングページが表示されました。
BUYTRXに関する調査だけでも、Google Adsは55以上のドメインにわたって、ウォレットを空にするマルウェアの拡散に積極的に資金を提供していました。各ドメインは、Googleのクローラーに「空白のページ」が表示されたため、Googleの自動審査を通過していました。これは抜け穴ではなく、クローキングが行われている場合に広告プラットフォームがランディングページを検証する仕組みそのものに構造的な欠陥があることを示しています。
なぜ「有罪が証明されるまでは無罪」という原則がここでは当てはまらないのか
「クローキングの仕組みを根拠にドメインをフラグ付けするのは時期尚早であり、実際のフィッシングコンテンツが現れるのを待ってから対応すべきだ」という主張を耳にすることがあります。しかし、この主張はクローキングの本質を誤解しています。
クローキングは中立的な技術ではない。それは 敵対的インフラ 検知を回避するために特別に設計されたものです。クローキングを採用しているドメインは、すでにその意図を明らかにしています。つまり、セキュリティシステムにはある情報を、被害者には別の情報を提示するということです。これは、いかなる正当な目的にも役立つ設定ではありません。
以下の特徴を示すドメインは 任意の組み合わせ これらのシグナルのうち、悪意のあるものとしてフラグが立てられているのは:
- 条件付きコンテンツの配信 — IPアドレス、ユーザーエージェント、地域、リファラー、またはデバイスフィンガープリントに基づいて異なるコンテンツを表示する
- TDSのフィンガープリント — レスポンスヘッダー、リダイレクトチェーン、またはJavaScriptにおけるKeitaro、Binom、BeMob、あるいはカスタムルーターの署名
- 公式サイトへリダイレクト — 第三者の正当なドメイン(特に銀行、仮想通貨、またはメールプロバイダー)へのリダイレクト
- 無関係な内容が記載された白いページ — 最近登録されたドメイン上に掲載されている、ブログ記事、ニュース記事、または一般的なコンテンツで、確立された事業活動が見られないもの
- ボット対策用JavaScript — 表示内容を決定する前に、ヘッドレスブラウザ、WebDriver、画面サイズ、またはキャンバスレンダリングの有無を確認するスクリプトを特定する
50,000件以上のスキャン済みサイトからなる当社のデータセットにおいて、こうした兆候を示しながらも実際には正当なサイトであることが判明したドメインの数は ゼロ。「まれ」などではなく、まったくありません。ターゲット外の訪問者を他社のドメインにリダイレクトする必要がある、あるいは特定のIP範囲からの訪問者にはログインフォームを表示しつつ、スキャナーに対しては仮想通貨に関するブログを表示する必要がある、といった正当なウェブサイトには、これまで一度も遭遇したことがありません。
クローキングは二値信号です。ドメインが上記の仕組みを用いて、訪問者ごとに異なるコンテンツを表示している場合、そのドメインはフラグが立てられます。運営者がこれを誤検知であると判断した場合、当社の 不服申立て手続き まさにこの目的のために設けられています。これまでのところ、クローキングに関連するフラグについて、異議申し立てが認められた事例はありません。
登録官の問題
クローキングは、不正利用の報告において下流で問題を引き起こします。クローキングされたドメインをレジストラに報告しても、レジストラの不正利用対策チームがそのURLにアクセスすると、そこには……何の問題もないページが表示されます。ブログ記事だったり、coinbase.comへのリダイレクトだったりします。彼らから見れば、対処すべき事柄は何もないのです。
まさにこのような状況が、私たちの NiceNICに関する調査 そして私たちの NameSiloに関する調査. いずれの場合も、レジストラは報告されたドメインを確認し、問題のないコンテンツであることを確認した上で、件を終了させるか、あるいはドメイン運営者を積極的に擁護した。
この問題は構造的なものです:
- レジストラの不正利用対策チームは、アンチウイルス(AV)ベンダーと同じスキャン手法を採用している — 彼らはデータセンターのIPアドレスから標準的なブラウザを使ってそのURLにアクセスします。クローキングは、こうした試みを毎回無効にしてしまいます。
- クローキング検出に投資しているレジストラは1つもない — 条件付きコンテンツ配信を検知する技術は存在します(当社が開発しました)が、レジストラのどこもこれを実装していません。
- ICANNの不正利用対策の枠組みでは、クローキングは考慮されていない — 不正利用の報告には、有害なコンテンツの証拠が必要です。有害なコンテンツが被害者にのみ表示される場合、レジストラ独自の検証プロセスでは決してそれを発見することはできません。
我々は、この傾向について詳細に記録してきました。我々の報告書では 虐待の通報が放置される場合 登録機関が、その検証方法がまさに「クローキング」が回避しようとしているものそのものであるため、クローキングされたドメインに対して体系的に適切な措置を講じられない実態を詳述している。
だからこそ、PhishDestroyは独立したレイヤーとして存在しているのです。私たちは、単一のIPアドレスからURLにアクセスして表示内容を確認するだけという方法には頼っていません。 私たちは、リダイレクトチェーン、TDSフィンガープリント、JavaScriptの挙動、DNS履歴、証明書透明性ログ、そして数千のドメインにわたる時間的パターンを分析しています。ドメインにフラグを立てる際、私たちは、そのドメインが「ありきたりな方法」で確認する者にとっては「問題がない」ように見えるという事実を、すでに考慮に入れているのです。
概要:クローキングの手法と検知
| テクニック | スキャナーが捉えるもの | 被害者が目にするもの | 検出方法 |
|---|---|---|---|
| IPアドレスに基づくフィルタリング | 空白ページ / リダイレクト | フィッシングページ | マルチIPスキャン、住宅用プロキシの比較 |
| UAに基づくフィルタリング | 空白ページ / 403 | フィッシングページ | UAローテーション、ヘッドレス環境と実際のブラウザの比較 |
| 位置情報に基づくフィルタリング | 一般的な内容 | 地域に特化したフィッシング | マルチリージョン・プロキシスキャン |
| リファラーのフィルタリング | 白紙のページ | フィッシング(広告・メール経由) | リファラー偽装、広告クリックのシミュレーション |
| JSフィンガープリンティング | 空白ページ(ボットが検出されました) | フィッシング(実機) | JavaScriptの静的解析、難読化解除 |
| 時間に基づくルール | 清掃(営業時間外) | フィッシング(営業時間内) | 時間スキャン、タイムゾーンに整合したチェック |
| クッキー/セッションによるアクセス制御 | クリーニング(初回) | フィッシング(クッキーを利用した再訪問) | 複数回訪問セッションの分析、クッキーのリプレイ |
| TDS(ケイタロ/ビノム) | 空白ページまたはリダイレクト | フィッシングサイトへリダイレクトされた | ケイタロ検出ツール, ヘッダー/リダイレクトの分析 |
| 公式サイトへのリダイレクト | 302 → 正規サイト | フィッシングページ | リダイレクト先の分析、ドメインの目的の検証 |

結論
クローキングはグレーゾーンではありません。それは 最も効果的な回避テクニック 現代のフィッシングにおいて、Google Adsからメールゲートウェイ、レジストラの不正利用対策チームに至るまで、フィッシングのエコシステムを構成するあらゆる要素が、現在この問題に対処できていない。
PhishDestroyがドメインをクローキングとしてフラグ付けする場合、それは単なる推測ではありません。私たちは、異なる訪問者に対して異なるコンテンツを表示するという唯一の目的のために存在する、悪意のあるインフラの存在を記録しているのです。50,000件以上のスキャンにおいて、このシグナルの誤検知率はゼロです。
ドメインにフラグが付けられた場合は:
- 正当な事業者であり、これが誤検知であると思われる場合は、 異議申し立てを行う. 私たちは一つひとつ確認しています。
- もしあなたがクローキングのインフラを運用しているなら、我々はすでにそのことを把握しています。あなたが我々のスキャナーに見せた空白のページは、被害者が実際に目にするものとは異なります。そして、それを証明する証拠も我々の手元にあります。
真っ白なページは言い訳にはなりません。それは自白に他なりません。もしあなたのドメインが、訪問者ごとに異なるコンテンツを表示する必要があるなら、それが悪意のあるものかどうかという問いに対する答えは、すでに明らかになっているのです。
偽装されたドメインはすべて利用停止処分となります。例外はありません。異議申し立てが認められた事例は一度もありません。というのも、5万回のスキャンにおいて、このシグナルに関する判断が誤っていたことは一度もないからです。
関連する研究・資料
TDSのケイタロウ:1,500枚のパネルが露出
世界中のフィッシングインフラを支える1,565の「Keitaro」パネルを、どのようにマッピングしたか。
ケイタロ検出ツール
任意のドメインをスキャンし、Keitaro TDSのフィンガープリント、リダイレクトチェーン、およびクローキングのシグネチャを検出します。
BUYTRX:55のドメイン、Google広告の資金調達
Google Adsの審査を通過するために、偽装されたホワイトページを利用するウォレットドレイナーネットワーク。
虐待の通報が放置される場合
レジストラの不正利用対策チームが、クローキングされたドメインに対して対応できない理由と、何を変える必要があるのか。
NiceNICの評価
ICANN、NiceNICに対し、不正利用の報告に対して体系的な対応を怠ったとして申し立てを行った。
「NameSilo」調査
NameSiloが200万ドルの仮想通貨窃盗犯を擁護し、口実をでっち上げた経緯。
本記事は、5万件以上のドメインをスキャンし、稼働中のフィッシングインフラを調査し、レジストラやICANNに不正利用の報告を行ってきた当社の実務経験に基づいています。記載されているすべての手法については、証拠とともに記録されています。調査のどの段階においても、不正アクセスは一切行われていません。



