2023/09/25 i-FILTER,i-フィルター,サイバー攻撃,フィッシング
広告からサポート詐欺サイトが表示、その手口を分析
サポート詐欺とは、ウイルス感染したかのような警告や警告音を出して不安を煽り、虚偽のサポート窓口に電話をかけさせて金銭を騙し取ろうとする詐欺行為です。
この詐欺手法は、何年も前から存在しておりたびたび話題となっていますが、最近は特に活発化しており、相談件数も増え続けています(※1)。
(※1)出典:情報セキュリティ安心相談窓口の相談状況[2023年第2四半期(4月~6月)] | IPA 独立行政法人 情報処理推進機構
サポート詐欺サイトが表示される要因には下記のようにいくつか考えられます。
- 閲覧したWebサイトの広告に不正なものが紛れ込んでいた
- 閲覧したWebサイトが改ざんされていた
- メールに記載されたURLにアクセスした
Webサイトを閲覧中に広告からサポート詐欺サイトが表示された事例
本稿では、Webサイトを閲覧中に表示された広告からサポート詐欺サイトに誘導された事例を紹介します。
このような詐欺サイトに出逢うのは、いかがわしいサイトやあまりなじみのない外国語のWebサイトを閲覧中に出逢ってしまうというイメージをお持ちかもしれません。しかし、本事例で閲覧していたWebサイトはいかがわしいものではなく、旅行や乗り物関連の国内サイトで、かつ表示された広告も大手の広告配信サービスのものでした。
表示された広告をクリックした際の通信は【図4】のようになります。
ただし、広告が直接サポート詐欺サイトに誘導していたわけではありません。広告が指定するのはあくまでランディングページ(※2)までです。
それでは、なぜサポート詐欺サイトが表示されてしまったのでしょうか。それはランディングページに秘密がありました。
(※2)ランディングページとは、閲覧者が広告をクリックした際に表示されるページのことです。一般的に広告配信サービスは、広告主(自サイトへ誘導したい人)から受け取ったURLを審査したあとでランディングページに設定しています。
条件に合致したときだけサポート詐欺サイトを表示
ランディングページにアクセスすると、条件によって
- ランディングページをそのまま表示
- ランディングページからリダイレクトしてサポート詐欺サイトを表示
今回の事例では、「User-Agentに特定の文字列(「Windows」や「mobi」など)が含まれ」かつ「閲覧者が特定のIPアドレスでない」という条件の場合、サポート詐欺サイトへとリダイレクトされたことを確認しています。
攻撃者はIPアドレスやWebブラウザー情報やその他の様々な情報を用いて条件を設定し、できる限りターゲットだけにサポート詐欺サイトを表示させるようにしています。
反対に、User-Agentに前述の特定の文字列があったとしても、リダイレクトしないものがあります。「curl」「wget」といった文字列(Webサイト調査などのツールで使われる)が含まれている場合には、リダイレクトしません。ほかにも、プロキシサービスのIPアドレスやVPNサービスのIPアドレスでアクセスした場合もリダイレクトしませんでした。アクセスしたタイミングによってもリダイレクトしない場合があるため、時間帯によって挙動しない設定がなされていることも考えられます。
URLやサイトは使い捨て
サポート詐欺サイトのURLは頻繁に差し替えられます。また、ページ内のコードにはコピーツールで複製して生成しているような記述も見つかりました。
サポート詐欺サイトは次から次へと機械的に生成され、短時間で使い捨てにされています。
ランディングページについて
リダイレクトしない場合に表示されるランディングページは、名称に「Travel」を含んでいたりトップページに観光地の画像やその説明書きがあります。一見すると旅行や観光に関するサイトです。
しかしながら、ランディングページをよく確認すると粗が目立ちます。コンテンツはホームページ用のテンプレートに少し情報を追記しただけで、英語と日本語が混じっていたり、トップページ以外はテンプレートのまま使用していました。一般的に見て、とてももう一度アクセスしたいと思うようなコンテンツではありません。ランディングページのURLのドメインも、調査時点においてドメイン取得から2週間程度しか経っていないものでした。
これは、広告審査をすり抜けるためにまともに見せかけたWebサイトを作成した可能性が考えられます。
条件によって異なる挙動、短時間でサイトやURLの使い捨て、広告審査をすり抜けるためサイトの準備など、ターゲットじゃない場合(アンチウイルス製品や広告配信サービスの審査など)はサポート詐欺サイトを表示させないようにしているものと考えられます。
おわりに
今回の事例のランディングページへのアクセスログ(i-FILTER/i-FILTER@Cloudのクラウドルックアップされたログ)を集計したところ、およそ1か月半で4000アクセス、組織数でみると800組織がアクセスを行っていました。たったひとつのランディングページでこれだけの範囲に対して攻撃が届いてしまっています。ランディングページは他にも多数存在しますし、さらにそこからリダイレクトするサポート詐欺サイトは膨大な数になっているでしょう。
広告配信サービス側でも、不正な広告が配信できないように審査が行われているはずですが、攻撃者は様々な方法ですり抜けてきます。本稿で紹介した手口はひとつの例に過ぎません。広告だけでなく、閲覧したWebサイトが改ざんされていたり、メールのリンクにアクセスしてしまったりなど、出逢ってしまう機会があります。サポート詐欺は今や誰でも遭遇してしまう状況です。
遭遇しないよう対策をしようにも、サポート詐欺サイトが動的に生成されたり使い捨てにされたりという場合はブラックリストでの捕捉はできず、未然に防ぐことは困難です。
いざ遭遇してしまったときに焦って騙されてしまわないよう、下記の参考情報のリンクを参考に、こういった詐欺手口やその対処方法について知っておくことは大事でしょう。
◆参考情報
下記のリンクではサポート詐欺の注意喚起および、表示されてしまった際の対処方法などについて掲載されています。ぜひ併せてご覧ください。
IPA 独立行政法人 情報処理推進機構
偽のセキュリティ警告に表示された番号に電話をかけないで
マイクロソフト
マイクロソフトのサポートを装った詐欺にご注意ください
サポートを装った詐欺にご注意ください (PDF 資料)