実例にみる、法人も注意すべきサポート詐欺の攻撃手法
トレンドマイクロが独自に集計するインシデント事例の中で、2023年にサポート詐欺による法人被害の事例が複数確認されています。実際の被害内容を元に組織が行うべき対策について記載します。
「セキュリティアラート このコンピュータはウイルスに感染しています」
上記は一例ですが、同様の意図を指すメッセージ文が表示された経験のある方が少なからずいらっしゃるのではないでしょうか。
このような記載は、利用者にとって強い危機感をもたらすものであり、何か対応をしなければならないという焦燥感に駆られてしまいます。
こうした心理を逆手に取った詐欺が「サポート詐欺」と呼ばれるものです。
警察庁によれば「サポート詐欺」は、”主にパソコンでインターネットを閲覧中に、突然、ウイルス感染したかのような嘘の画面を表示するなどして、ユーザの不安を煽り、画面に記載されたサポート窓口に電話をかけさせ、遠隔操作ソフトをダウンロード・インストールさせたり、サポートの名目で金銭を騙し取ろうとするもの”と定義されています。
しかし、今回の記事内で紹介するいくつかの手口でも見られる通り、本記事では、誘導経路がセキュリティ警告画面等であるかにかかわらずサポートセンターやサービスベンダーを偽装してユーザをだます手口を「サポート詐欺」として取り扱います。
近年、サポート詐欺の脅威は増加傾向にあり、IPAの相談窓口でも2023年5月に過去最高の相談件数を記録しました。
同様にトレンドマイクロのサポート窓口においても2022年下半期のサポート詐欺に関連する問い合わせ件数755件に対し、2023年上半期の問い合わせ件数は2035件と約2.7倍に増加していることが確認されています。
サポート詐欺の被害者は個人ユーザだけ?
一般的に個人利用者を狙う攻撃と考えられているサポート詐欺ですが、法人での被害も確認されています。
トレンドマイクロが過去に調査したサポート詐欺で誘導されるサイトにおいても、サイトへの全アクセスのうち約9%(223件、集計期間2023年4月1日~2023年5月31日)が法人組織からのものであることが確認されています。
さらに、上述した当社サポート窓口においても、うち約4%(121件、集計期間2022年7月~2023年8月)のお問い合わせが企業のお客様からのものでした。
どれも全体傾向から見れば法人組織における被害の割合は一部ではあるものの、100件を超える一定数の被害が確認されています。
これらのデータから、恐らくサポート詐欺を行う攻撃者にとって、対象が個人か法人か、ということに明確な区別はなく、詐欺の対象者が法人組織に属する個人であればそのまま法人への被害に繋がる可能性を含んでいることが推測されます。
| 発生時期 | 被害組織 | 被害内容 | 経緯(発表内容を一部抜粋・編集) | 手口 |
|---|---|---|---|---|
| 2023年3月 | 財団法人 | 情報漏えい | セキュリティサポートを偽装した詐欺の表示が届き、詐欺の実害に及ばなかったものの犯人がPCに侵入した可能性あり。 | セキュリティサポートを偽装した画面⇒遠隔操作 |
| 2023年3月 | 建設業 | 情報漏えい | 名刺管理システムの運営会社を名乗る担当者より電話とメールで連絡があり、IDとパスワードを詐取された。後日名刺管理システムから名刺情報の漏えいが発生。 | メール⇒電話⇒ID窃取 |
| 2023年5月 | 自治体 | 情報漏えい | セキュリティ警告とともに、Microsoftサポートに電話するよう、連絡先が表示。正規のサポートセンターであると信じて連絡し、電話先のオペレーターの指示に従ってパソコンを操作したところ、身代金を要求するような表示が画面に出た。「UltraViewer」というソフトをパソコンにインストールしてしまった。 | セキュリティ警告⇒電話⇒ソフトインストール⇒遠隔操作 |
| 2023年7月 | 学校 | 障害発生(システム停止) | 資料を検索中、メッセージ画面の指示に従いサポートセンターをうたう番号に連絡すると「相談料が発生する」と言われ電話を切った。翌日パソコンを開くと、ウイルスに感染した旨のメッセージが表示された。 | サポートからのメッセージ画面⇒電話⇒マルウェア感染 |
| 2023年8月 | 学校 | 情報漏えい | 個人利用の携帯電話に料金未払いの連絡を受け、示された電話番号を公用パソコンで検索したところ、トロイの木馬への感染を示す警告画面と連絡先が表示された。連絡先へ電話をし、指示に従ったところ、パソコンの遠隔操作が行われてしまった。 | 個人携帯への未払い連絡⇒公用PCでの検索⇒警告画面⇒電話⇒遠隔操作 |
| 2023年9月 | 自治体 | 情報漏えい | 勤務時間中に自席端末からニュースサイトを閲覧していたところ、サポート詐欺に誘導され、端末を遠隔操作された。しばらくして詐欺であると気づき、電源を遮断した。 | サポートからのメッセージ画面⇒電話⇒遠隔操作 |
| 2023年9月 | 学校 | 情報漏えい | 業務用のパソコンでニュースサイトを閲覧していたところ、ウイルスに感染したことを示す警告画面と連絡先が表示。電話をかけ、外国人とみられる男の指示で遠隔操作をするためのアプリをダウンロードしたところ、パソコンが相手に操作された。 | 警告画面⇒電話⇒ソフトインストール⇒遠隔操作 |
| 2023年9月 | 病院 | 情報漏えい | 自宅で使用しているパソコンが、サポート詐欺の手口により遠隔操作された。自宅パソコンに個人情報が含まれるUSBが接続されていた。 | 自宅PCへの侵害 |
| 2023年11月 | 学校 | 影響なし | 公用パソコンでネット検索をしていたところ、トロイの木馬への感染を示す警告画面とサポートセンターと称す連絡先が表示。個人の携帯電話でパソコンの画面に示された電話番号へ電話をし、指示に従ったところ、パソコンの遠隔操作が行われた。 | 警告画面⇒電話⇒遠隔操作 |
| 2023年12月 | 企業 | 不正送金 | パソコンの画面に、「ウイルスに感染しました」などという表示が出て、連絡先として表示された番号に電話をかけた。 ソフトウエア会社の社員を名乗る男の指示に従い、修理代499円をインターネットバンキングで指定された口座に振り込んだ。その翌日、振込履歴を確認したところ、あわせて1690万円あまりが勝手に引き出されていた。 |
警告画面⇒電話⇒遠隔操作⇒不正送金 |
表1:2023年に公表された法人へのサポート詐欺事例
これらの実際の事例を見てみると、サポート詐欺の常套手段ともいえる「警告画面の表示⇒電話誘導⇒遠隔操作」といった流れにも、いくつかバリエーションがあることがわかります。
例えば、ネット上での検索やニュースサイトの閲覧時に警告画面へいつの間にか誘導されるケース以外にも、個別のメールをきっかけに電話させるケースや2023年8月の事例で見られたように個人携帯向けに料金未払いの督促を行った上で、警告画面まで誘導するケースが確認されています。
また電話誘導後の手法にもいくつか注目すべきものがあります。例えば、2023年7月の事案ではサポート料金を請求され、電話を切断したものの翌日に、「ウイルス感染」のメッセージが表示された事例が報告されています。このメッセージが正規のセキュリティソフトによる通知であったか公表内容から読み取ることはできませんが、「ウイルス感染」メッセージが偽物である場合は、初日と異なるメッセージが次の日に表示されたということになります。またこの「ウイルス感染」メッセージが本物である場合、マルウェアをインストールさせられている可能性があり、これらはサポート詐欺において、料金の請求が失敗した場合でも2段階目の戦術があることを示しています。
他にも特定の認証情報を窃取され、後に情報漏えいに繋がったものがあることから、アカウント情報窃取を目的としたサイバー攻撃の手法の1つとして、サポートを偽装した手口が用いられている可能性があります。詐欺の手法は、人を騙して誘導するという点から、十分な情報があれば高度な技術なしでも重要な情報を得られる点で用いられやすい手段です。強固なセキュリティ体制が整っている組織でも人の信用に付け込まれ被害を受ける可能性があります。
さらに2023年12月の事例では、遠隔操作後に復旧代金とは別の不正な送金が無断で行われた事例が発生しています。こちら具体的な手順は不明ですが、おそらく遠隔操作段階で金融機関の認証情報や暗証番号などを攻撃者が盗み取り、後になって不正に送金を行った可能性が考えられます。一旦500円程度の復旧代金を要求することで、被害者の心理的な負担を軽くするなど、巧妙な手法が採用されていることからも、攻撃者の手口が状況に応じて細かに変更されていることがわかります。
(出展:https://www3.nhk.or.jp/lnews/nagano/20231215/1010029070.html)
いずれにしてもほとんどの事例で共通して被害者のPCに遠隔操作ソフトをインストールされ、攻撃者が遠隔操作可能な状態とされてしまいます。その時点でスパムメールの踏み台化や不正なサービスの利用、認証情報の窃取など様々な次の攻撃ステップを行う為に必要な状況が揃ってしまっているとも言えます。このことは個人ユーザだけでなく、法人にとっても無視できない脅威となる可能性を含んでいます。
サポート詐欺によって生じる組織へのリスク
法人にとってのリスクとしては、第一に情報漏えいのリスクが挙げられます。
上述した公表事例でも見られたように、攻撃者が実際に機密情報にアクセスできたか否かに関わらず、遠隔操作されたという事実だけで組織としては無視できない(漏えいが否定できない)、セキュリティインシデントに繋がってしまいます。
特に何らかの個人情報にアクセスできる端末であった場合には、個人情報保護委員会への報告や該当する個人への報告・謝罪・補償など大きな対応コストが生じる可能性があります。
次に、組織内への攻撃者の潜伏リスクが挙げられます。
遠隔操作された際にマルウェアをインストールされてしまうことで、永続的に攻撃者が組織内の端末を操作できるようになる可能性があります。その場合、継続的に情報が盗み取られたり、組織内の他の端末にも被害が拡大し、大規模なランサムウェア攻撃に繋がったりすることも考えられます。巧みな攻撃者であれば、自身の痕跡(ログ)の消去や正規ツールの利用を行うことで自身の潜伏を長期に隠ぺいすることができます。
サポート詐欺への対策
では、サポート詐欺に関して組織が行える対策はどのようなものがあるでしょうか。
対策としては、サポート詐欺自体を防ぐ対策と詐欺被害を抑える対策に二分されます。
サポート詐欺自体を防ぐ対策としては、従業員教育・啓発が挙げられます。
サポート詐欺の存在自体を知っているだけでも不審なセキュリティ警告時に詐欺に気づける可能性は向上します。またサポート詐欺の具体的な攻撃手法やシナリオを社内に周知しておくことで、さらに詐欺を見抜ける可能性は向上するでしょう。
2章で引用した詐欺サイトに誘導される不正な広告などにも見られるように、目を引く広告からの詐欺サイトへの誘導など、攻撃者側の誘導手段もより直感的なものに洗練されているため、多様なシナリオを周知しておくことが重要です。
また他にも社内ルールの策定・浸透が有効です。
例えば「PCに見慣れない画面が表示されたら社内システム部門に連絡する」等のルールを策定しておくことで、一度他者と相談・話し合うことにより、画面上に発生した事象へのより正確な認識が促されます。
他の詐欺も同様ですが、詐欺の対象となっている被害者以外の目や認識が介入することで、詐欺を見抜ける可能性が高まるため、そうした効果を見越したルール設定が重要です。
また前述した通り、サポート詐欺の常套手段として、正規の遠隔操作ツールをインストールすることも確認されています。
これに対しては、社内ルールとして新規のソフトウェアインストールの際に承認や確認が必要となることや、未許可ソフトのインストールに対して技術的な制約を設けることでもできます。
また詐欺やマルウェア配布に使用される不正なWebサイトのブロックにはSWGサービス(Secure Web Gateway Service)が効果的です。SWGサービスはクラウドベースのセキュリティソリューションであり、インターネット接続可能な環境であれば場所を選ばずデバイスからの安全なインターネットアクセスを可能にします。
詐欺被害を抑える対策としては、万が一自社従業員がサポート詐欺に騙されてしまった場合でも、遠隔操作端末との通信や遠隔操作用ソフトウェアのダウンロードなどの挙動をすばやく検知し、続く二次被害を抑えるソリューションの導入が推奨されます。
サポート詐欺においては、AnyDesk、TeamViewer、LogMeIn、UltraViewerなどの正規の遠隔操作ツールが使用されます。これらは正規のツールである為EPP製品、いわゆるウイルス対策ソフトなどによる検知・ブロックが実行されません。
そのため対策としてはXDRなど組織内のあらゆる環境における挙動を網羅的に監視し、不審な挙動を検出するソリューションの導入によってより被害拡大を抑える効果が期待されます。
サポート詐欺は、個人と法人どちらかに攻撃対象を選ぶことなく発生し、様々な被害のリスクに繋がります。
フィッシング等、他の詐欺を伴う攻撃同様に適切な教育や防御対策を行って、自社内の顧客情報を守ることなど、組織にも相応の準備を進めることが求められます。
Security GO新着記事
ソブリンクラウドとは?プライベートクラウドやガバメントクラウドとの違いを解説
(2024年11月5日)
VPN機器の脆弱性はなぜ管理しづらいのか~ネットワークエンジニアの立場から探る
(2024年11月1日)
暗号資産マイニングマルウェアとは?~事業停止にもつながるサイバー脅威~
(2024年10月31日)
