Web プッシュ通知とは

「○○（サイトのドメイン）が次の許可を求めています」「○○（サイトのドメイン）が次のことを求めています」といったポップアップを目にしたことがあるかと思います。これは何かというと「Web プッシュ通知」に関連するものです。

「Web プッシュ通知」は簡単に言うと、Web サイトがユーザーへ、ブラウザーを通じて通知（プッシュ通知）を送信できる仕組みのことです。「Web プッシュ通知」自体は正当なものですので、ウイルスやマルウェアではありません。

• Web サイトがプッシュ通知を送信できるようにするには、ユーザーにプッシュ通知を許可してもらう必要があります。「○○（サイトのドメイン）が次の許可を求めています」といったポップアップで要求を行います。
• その要求に対してユーザーが許可をすると、その Web サイトがブラウザーに記憶されます。これにより今後はその Web サイトを開かなくても、ユーザーに通知（プッシュ通知）が届くようになります。

例えば、ニュースサイトは最新の記事を、ショッピングサイトは気になる商品の値下げ情報を、プッシュ通知で知らせてくれます。ユーザーがわざわざ Web サイトを開かなくても、情報を受け取ることができるため便利な機能といえます。

Web プッシュ通知の悪用

しかし、便利である反面それを悪用する手口も存在します。注意喚起や、SNS 等での報告で多く見受けられた悪用例は【図2】のようなパターンです。

この場合は、なんらかのきっかけでロボットのような画像の「不審なサイト」が表示され、通知の許可を求めるポップアップが表示されます。サイトとポップアップに表示されるドメインも、プッシュ通知のドメインも、「攻撃者が用意したドメイン」からのものでした。プッシュ通知をクリックすると不審なサイトに誘導されてしまいます。

新たな Web プッシュ通知の悪用

海外政府の公式サイトを閲覧中に発見

きっかけは海外政府の公式サイトを閲覧したことからでした。

「mot.gov.■■」という海外政府の公式サイト閲覧のためにアクセスしたところ、サイトコンテンツは正常に表示されていて、おかしな点は見当たりませんでした。気になった点といえば、通知の許可を求めるポップアップが表示されたことくらいです。

このポップアップ表示自体は、上述したように問題ないものですし、情報配信のために有効活用している組織も見かけますので、この時点で疑わしいものと気付くことは難しいでしょう。

調査環境を用いて、このポップアップを許可してどうなるのか様子を見てみました。

すると、許可をしてしばらく経ってからプッシュ通知が受信されるようになりました。

プッシュ通知の送信元ドメインはこの海外政府の公式サイトのドメインのようです。

しかし、プッシュ通知のメッセージ内容には政府とは関係のなさそうな、偽のウイルス警告、オンラインデートに誘うメッセージ、あやしげな儲け話といったものが表示されていました。困ったことにプッシュ通知は何度も何度も繰り返し受信されてきます。

そして、プッシュ通知をクリック（タップ）すると、アプリ購入やアプリインストールやオンラインデートサイトなど様々なサイトに誘導されてしまいました。

なぜこのような事態になってしまったのでしょうか。

調査の結果、海外政府の公式サイトは改ざんされ不審なスクリプトが挿入されていたことを発見、これが原因であることがわかりました。

改ざんサイトを悪用する新たな手法

改ざんサイトからの挙動

まず、正規の Web サイトが改ざんされ、不審な JavaScript が挿入されます。

改ざんサイトにアクセスすると外部サイトの JavaScript が読み込まれて実行され、通知の許可を求めるポップアップが表示されます。許可をしてしまうとプッシュ通知が届くようになってしまいます。

一連の流れで使用される JavaScript は【図5】の中にある、

• /code/https-v2.js
• /process.js

のほかに、下記のような JavaScript も追加で読み込みます。

• 改ざんサイト/phsw2.js
• /v2-sw.js

これらの JavaScript を組み合わせてプッシュ通知を行います。一連の流れは下記のようになります。

一連の流れ

1. ユーザーが改ざんされた Web サイトにアクセス。
2. アクセスしている Web ブラウザーが条件に合えば、プッシュ通知の許可を求めるポップアップが表示される。
3. ユーザーがポップアップで許可をタップ（クリック）する。
4. ブラウザーにサービスワーカー（※1）が登録される。
5. プッシュ通知の購読が行われる（トークン情報がサーバーに送信される）。
6. プッシュ通知がサーバーから送信されると、サービスワーカーが通知を受信。
7. 改ざんサイトからのプッシュ通知がユーザーに届く。
8. ユーザーがプッシュ通知をクリックすると、URL がブラウザーで開かれる。
9. URL は広告ネットワークのもので、その広告 URL を経由して、オンラインデートやアプリインストールページなどに誘導されます。

（※1）サービスワーカーは、Web ブラウザーのバックグラウンドで実行されるスクリプトのことです。サービスワーカーは、ウェブアプリケーションのパフォーマンスを向上させたり、オフラインで動作する機能を提供したりするために使用されます。プッシュ通知を実装する際には、サービスワーカーがプッシュ通知を受信し、ユーザーに通知を送信する役割を担います。サービスワーカーは、ブラウザーとウェブサイトの間で通信を行い、ユーザーエクスペリエンスを向上させるためのさまざまな機能を提供します。

「news」を含むドメインの使用

改ざんサイトにアクセスした際に読み込まれる外部サイトのドメインには特徴がありました。いずれも「news」という文字列を含んでいます。2024年には、下記のパターンのドメインを多く観測しています。

• news-[英字6～7桁].cc
• news-[英字6～7桁].com

下記のようなパターンでサブドメインも使用されています。

• [英数字10桁].news-[英字6～7桁].cc
• [英数字10桁].news-[英字6～7桁].com

また、改ざんサイトだけでなく、この「news」ドメインからプッシュ通知も行います。

また、過去に使用していたと考えられるドメインにも「news」という文字列が含まれており、類似性があります。

• [数字1～4桁].news-[英字5～8桁].cc
• [数字1～4桁].news-[英字6桁].com
• [数字1～4桁].news-[英字6桁].xyz
• [英字1～3桁]-news[数字1桁].club

下図は、使用されたドメインが観測された時期を表したグラフです。TLD（トップレベルドメイン）で色を分けています。

※サブドメインは無数に生成して使用できるため、ドメイン部分だけをカウントしています。
例）1234.example.com
※2022～2023年に空白期間がありますが、理由として関連付けられる有益な情報が得られず不明です。

2020年頃には「.club」を使用していましたが、2021年から「.cc」を多用し始めています。2023年以後は「.cc」「.com」の2つが主に採用されています。

目的は

プッシュ通知を悪用する目的としては、プッシュ通知の表示数、クリック数、クリック後のアプリインストール数を増やし広告収入を得ることだと考えられます。

2024年7月時点では、広告にはロシアを拠点とする広告ネットワークが採用されています。それに関係するかわかりませんが、上述の流れ 2. の時点で、ロシア製のとある Web ブラウザーだとわかると表示されないように設計されていました。

改ざんサイト悪用の背景には、正当なサイトは信頼度が高く、ユーザーからプッシュ通知の許可を得られやすくなることが挙げられます。また、配信したプッシュ通知もクリックされやすいでしょう。

おわりに

多くのサイトが改ざんされ、中には「mot.gov.■■」「cac.gov.◆◆」といった海外の政府ドメインの公式サイトもありました。そのドメインから実際に通知が行われたことも確認しています。海外旅行などで現地の政府観光サイトを確認するようなこともあるかと思います。政府のドメインだからといって安心できない状況です。

Web サイト側で、明示的にプッシュ通知を行っているという旨を述べていない限りは、プッシュ通知は許可しないというのが良いのかもしれません。ただ、スマートフォンのように小さな画面だと誤って許可を押してしまうということは考えられます。今回に限らず押していないつもりでも、指がすべって押してしまっていたという経験はあるのではないでしょうか。

これらはマルウェアではなく、Web ブラウザーの機能を悪用したものですので、設定から出さなくすることが可能です。使用しているブラウザーで許可してしまった通知は削除できますので、下記リンクを参考に対処してください。

◆参考情報
IPA 独立行政法人 情報処理推進機構
ブラウザの通知機能から不審サイトに誘導する手口に注意

なお、本調査では確認できていませんが、プッシュ通知から「サポート詐欺」サイトへ誘導されたとの報告もあります。広告からサポート詐欺サイトに遷移する手口は多く確認されているため、あわせて注意が必要です。
広告からサポート詐欺サイトが表示、その手口を分析