みなさんこんにちは、イノベーションセンターの益本(@masaomi346)です。 Network Analytics for Security (以下、NA4Sec) プロジェクトのメンバーとして、脅威インテリジェンス(潜在的な脅威について収集されたデータを収集・分析したもの)の分析をしています。
最近、広告から偽のセキュリティ警告画面に飛ばされる事例が目立っています。 本記事では、偽のセキュリティ警告画面が表示される仕組みについて、実際に使われているツールを使って紹介していきます。 ぜひ最後まで読んでみてください。
NA4Secについて
「NTTはインターネットを安心・安全にする社会的責務がある」を理念として、インターネットにおける攻撃インフラの解明・撲滅を目指した活動をしているプロジェクトです。 NTT Comグループにおける脅威インテリジェンスチームとしての側面も持ち合わせており、有事において脅威インテリジェンスを提供し、意思決定を支援することもあります。 イノベーションセンターを中心として、NTTセキュリティ・ジャパンやエヌ・エフ・ラボラトリーズ(以下、NFLabs.)からもメンバーが参画し、日夜攻撃インフラを追跡しています。
NA4Secの最近の活動については、以下の記事をご覧ください。
サポート詐欺について
サポート詐欺とは、偽のセキュリティ警告画面を表示させて、偽のサポート窓口に電話をかけさせ、サポート料金と称して金銭を騙し取る手口のことをいいます。 近年サポート詐欺による被害が増加しており、政府広報や国民生活センターなど、各所で注意喚起が出ています。
PCやスマホに警告画面が出ても慌てないで!
— 政府広報オンライン (@gov_online) 2024年4月7日
🚨サポート詐欺が急増中🚨
パソコンやスマホを使用中、「ウイルスに感染した」という警告画面がでたりしても、実際には感染していないことがほとんど。
表示された偽のサポート窓口に電話をすると、金銭を請求されます💥https://t.co/axdRjHJFXs https://t.co/JpePWnrzn2 pic.twitter.com/PLlosBy4OF
【発表情報】
— 国民生活センター (@kokusen_ncac) 2024年3月27日
パソコンに突然の #警告画面 !
表示されたマイクロソフト社の電話番号は偽物なので絶対に電話しないで!
パソコンを #遠隔操作 されネットバンキングで100万円送金されてしまった被害も。https://t.co/esArIOGxPO
困った時は、一人で悩まず、まず相談!消費者ホットライン「188」に電話 pic.twitter.com/Ne6mbou3Cr
また、IPAの偽セキュリティ警告対策特集ページにて、偽セキュリティ警告についての情報がまとめられていたり、偽セキュリティ警告画面を体験できるサイトが公開されています。 興味がある方はぜひ読んでみてください。
どこから出現するのか
インターネット上の広告を中心として、いろんなところから出現します。
- 検索結果の広告をクリックする
- Webサイト上の広告をクリックする
- ブラウザ通知スパムによる偽のセキュリティ通知をクリックする
- etc.
検索結果の広告をクリックする
URLが本物と同じように表示されているが、これは、広告のトラッキングテンプレートを悪用することで、上の画像のように表示されます。 トラッキングテンプレートの悪用については、以下の記事が参考になりますので、興味がある方はぜひ読んでみてください。
PSA: Ongoing Webex malvertising campaign drops BatLoader
Webサイト上の広告をクリックする
広告をクリックした後、いくつかのドメインを経由して、偽のセキュリティ警告画面が表示されます。
ブラウザ通知スパムによる偽のセキュリティ通知をクリックする
ブラウザ通知の許可を求められ、許可を押すと、偽のセキュリティ警告画面に誘導するための通知が表示されます。
なぜ広告が使われているのか
これについては、とても複雑であり、詳細を書くと長くなるので、ざっくり紹介します。 インターネットの世界には、広告で収益を稼いでいる攻撃者がいます。 その中には、アクセスした人の属性によって、どの不正なコンテンツにトラフィックを流すかをルーティングするためのシステムを構築・運用している攻撃者もいます。 流れてきたトラフィックを自分で構築したWebサイトに流して広告収入を得たり、他の攻撃者が構築したWebサイトに流して手数料を得たりしています。 広告で収益を稼いでいる攻撃者は、偽のセキュリティ警告画面にトラフィックを流すことで、広告収入や手数料を手に入れるができます。 サポート詐欺を行っている攻撃者は、トラフィックを流してもらうことで、多くの人を誘導できるという仕組みになっています。
偽のセキュリティ警告画面の仕組み
偽のセキュリティ警告画面がどのように動作しているのか。 実際に使われている偽のセキュリティ警告画面を構築するためのツール(フィッシングキット)を使って、主な部分を紹介していきます。
※あくまで一例であり、すべての偽のセキュリティ警告画面がこうなっているわけではありません。
今回紹介するツールは、zipファイルとなっており、展開すると、以下のようになっています。
ブラウザの環境に合わせて表示内容を変化させる
このツールを実際に動かしてみると、使っている環境によって、偽のセキュリティ警告画面が変化します。
Windows
macOS
最初に読み込まれるファイルを見てみると、ブラウザの種類やバージョンを取得して、どのアドレスに飛ばすかを指定しています。
電話番号の表示
警告画面の電話番号がどのように表示されているかというと、電話番号をsessionStorageへ格納している箇所があり、そこから呼び出しています。 攻撃者の電話番号を入力すれば、偽のサポート窓口の電話番号として表示されます。
Windows版での送信元の情報表示
Windows版の偽のセキュリティ警告画面を表示したときに、IPアドレスや場所などの情報が表示されていたが、この部分については、外部サービス(画像ではipwho.is)を使って取得しています。
多言語対応
ブラウザの言語によって、警告画面の言語が変わるようになっています。
まとめ
- 偽のセキュリティ警告画面は、インターネット上の広告を中心として、いろんなところから出現しています
- ブラウザの種類や言語など、アクセスした人の情報に合わせて、表示する警告画面や言語を変えています
- 外部サービスを使って、アクセスした人の情報を取得しています
- 偽のサポート窓口用の電話番号があれば、簡単に使えるようになっています
さいごに
本記事では、偽のセキュリティ警告画面が表示される仕組みについて、使われているツールを使って紹介しました。 怪しい広告から、偽のセキュリティ警告画面に飛ばされる事例が増加しています。 本記事が、偽のセキュリティ警告画面がどのように表示されているかを知るための参考になればと思います。 今回の偽のセキュリティ警告以外にも、フィッシング詐欺で使われているツールなどの分析も行なっています。 興味がある方はぜひご連絡ください。
おまけ
NA4Secでは、一緒に働く仲間を募集しています。 また、兄弟プロジェクトにMetemcyberというチームがあり、こちらも、一緒に働く仲間を募集しています。 「脅威インテリジェンス」をキーワードに活躍の場を探している方、プロジェクトの理念に共感していただける方のご応募をお待ちしています。