100万円以上の被害も複数発生、サポート詐欺を徹底解説
近年、サポート詐欺は被害件数の拡大、手口の悪質化と共に、100万円以上といった高額な金銭被害を複数確認しています。本記事では、日本におけるサポート詐欺の攻撃手法や被害状況、実践的な対策を解説します。
サポート詐欺の被害は前年同期比3.5倍に
「サポート詐欺」とは、マルウェア感染など偽のセキュリティ警告を画面に表示した後、サポートに誘導し、復旧を名目に金銭を騙し取ろうとする詐欺行為を指します。日本国内からサポート詐欺サイトへのアクセスは2023年の年間で、900万件以上に及びました※1。
トレンドマイクロのサポートセンターへの問い合わせについて2023年第4四半期の報告件数は1,665件で前年同期比3.5倍となり、2023年を通じて被害の拡大が進んでいることが分かります。
※1 レンドマイクロのコンシューマ向けセキュリティソフト「ウイルスバスター クラウド」で2023年の1年間にサポート詐欺サイトへのアクセスを検出・ブロックした総数。
1. 誘導
サポート詐欺では、まず被害者が不正広告などを通じてセキュリティ警告表示を目にして詐欺的なコールセンターへと誘導されます。この段階は「不正広告表示」、「不正広告クリック」、「偽セキュリティ警告表示」という3つのステップで構成されます。
2. 操作
次に、被害者が偽のサポートに接触した後、サイバー攻撃者は正規の遠隔操作ソフトウェア(以下、遠隔操作ソフト)を介して被害者のコンピューターへのアクセスを試みます。「詐欺的電話サポート」、「遠隔操作ソフトインストール」、「遠隔操作」という3つのステップがこの段階の詳細な流れとなります。
3. 搾取
最後に、サイバー攻撃者は被害者の信頼を得てシステムにアクセスした後、金銭要求やシステムの不正改変を行います。さらに、被害者の個人情報を更なる詐欺行為に流用したり、追加のソフトウェアのインストールによって継続的なアクセスを確保したり、周辺のコンピューターに侵入する踏み台として悪用したりするなど、金銭詐取に留まらず追加の利益のために様々な方法で被害者から利益を搾り取ろうとする可能性があります。このため本記事ではこの段階を「搾取」と形容します。この段階でのこれらの行為は、「金銭支払い」、「システム改変」、「潜伏/更なる被害」という3つのステップに分けて考えられます。
| 1.不正広告表示 | ・被害者はWebサイト閲覧中に様々な広告(バナー、ポップアップなど)に遭遇する ・広告が表示されるWebサイトは多岐にわたる(アダルトサイト、情報サイト、ブログ、FacebookやXのようなSNSなど) ・広告の内容は主に二種類: - 「ウイルスに感染」などセキュリティ問題を警告するメッセージ - 興味を引くためのセキュリティと無関係のメッセージ |
| 2.不正広告クリック | ・被害者は広告のメッセージ内容に興味を持ち意図的にクリックするか、誤ってクリックする ・アダルトサイトでの動画閲覧時や広告表示を目的として作成されたMFA(Made-For-Advertising)サイトなどでは、誤クリックを誘発するように設計された仕組みが存在することがある (閉じるボタンに見えるものが実際にはリンクであるなど) |
| 3.偽セキュリティ警告表示 | ・広告クリック後、偽セキュリティ警告画面が表示される ・警告画面は、広告のランディングページで直接表示されるか、クリックや自動転送後に表示される ・偽のボタンなどで画面のどこかをクリックさせブラウザを全画面表示し、画面がロックされたように見せる ・緊急性を訴える音声や警告音が流れ、被害者にプレッシャーを与える ・問題解決のために表示された電話番号への即時の電話を促す内容が含まれる |
| 4.詐欺的電話サポート | ・偽セキュリティ警告を信じた被害者は、警告内に表示された電話番号に電話をかける ・被害者はその電話で、詐欺師が運営する詐欺的なコールセンターのエージェントと会話を開始する |
| 5.遠隔操作ソフトインストール | ・詐欺師は問題解決に遠隔操作が必要だと被害者に告げ、遠隔操作ソフトのインストールを要求する ・詐欺師は自らをマイクロソフト、アップルなどの有名企業の従業員であると偽り、被害者の信頼を得る ・被害者は詐欺師の指示に従い、指定されたWebサイトへアクセスし、遠隔操作ソフトをインストールする |
| 6.遠隔操作 | ・被害者が詐欺師の指示通りに操作すると遠隔操作のための接続が確立され、詐欺師が遠隔操作を開始する ・詐欺師は遠隔操作を通じてWindows標準コマンドの実行結果を示すなどして問題の調査を行っていると見せかけ、架空の原因を提示する ・詐欺師は技術的専門用語を用いて自分が提供しているサポートが適切であると見せかけ、被害者が専門家の助言に従うよう誘導する |
| 7.金銭支払い | ・詐欺師はセキュリティソフトのインストールと有償サポート契約を被害者に勧める ・サポート契約には複数の期間と金額のオプションがあり、詐欺師がメモ帳に入力して示すなどして被害者に選択させる ・支払い方法としてGoogle Playギフトカード、Appleギフトカードのようなギフトカードや銀行振込を要求する ・ギフトカードはコンビニエンスストアなど最寄りの店で即購入するよう促す ・ギフトカードを購入した場合、無効だと偽って再購入を繰り返し要求する場合がある |
| 8.システム改変 | ・詐欺師は遠隔操作を通じて、被害者のコンピューターにソフトウェアをインストールすることがある ・インストールされるソフトウェアは、セキュリティソフトやシステムクリーナーなどと称するが、潜在的に望ましくないアプリケーション「PUA(Potentially Unwanted Application)」に分類されるものであることが多い ・デスクトップの壁紙を変更する、起動時にメッセージが表示されるようにする、ファイルを削除する、正規のセキュリティ対策製品をアンインストールするなど、システムを改変することがある |
| 9.潜伏/更なる被害 | ・詐欺師は遠隔操作中、被害者のコンピューターに追加の遠隔操作ソフトをインストールすることで被害者のコンピューターへの継続的なアクセスを確保することがある ・継続的なアクセスにより、機密情報の窃取や追加ソフトウェアのインストールなどの被害が長期にわたって発生する可能性がある ・組織のネットワーク上のコンピューターの場合、横展開のための踏み台とされることによって、周辺のコンピューターにエスピオナージ(情報収集行為)やランサムウェアなど被害が波及する可能性がある ・収集した個人情報を不正使用し、更なる詐欺行為などに悪用される可能性がある |
表1:サポート詐欺のプロセス 各段階の詳細ステップ
このように、サポート詐欺は段階的に進行し、被害者の不安を煽りながら徐々に信頼を得て、最終的には金銭的被害や情報被害(情報漏洩や情報の不正利用など)につながります。
なお、コールセンターへの誘導方法は、不正広告以外にもブラウザ通知、Webサイトへの直接アクセスなどを確認しています。
| より効率よく | より騙しやすく | より検出されにくく | 環境変化に適応 | |
| 誘導段階 | ・不正広告経由での被害 ・クラウドサービスの悪用の拡大 ・コピーして作られた偽セキュリティ警告サイトの利用 |
・全画面表示の解除方法表示を見にくくする ・キー操作を無効化する ・全画面表示に必要な操作の隠蔽 |
・iframeによる埋め込み ・外部コンテンツの読み込み ・HTTP/3による通信 ・GIFアニメーションの使用 |
|
| 操作段階 | ・遠隔操作ソフトの自動ダウンロード |
・電話番号の利用割合の変化 | ||
| 搾取段階 | ・銀行振込による高額被害 | ・高齢者の被害 |
表2:2023年日本でのサポート詐欺の進行段階および目的別の特徴
2023年のサポート詐欺の特徴の中から、被害に遭う最初のきっかけであり、多くの人の目に触れる「不正広告経由での被害」、次に電話をかけないとどうしようもないと思わせ被害者をコールセンターへ誘導する「全画面表示を用いた巧みな手口」、最後に被害者からより効率よく可能な限り多くの金額を騙し取ろうとする「銀行振込による高額被害の発生」について、詳しく説明します。
不正広告経由での被害
不正広告を利用した偽セキュリティ警告サイトへの誘導は以前からその存在が知られていましたが、2023年にはこの手口での被害が多数報告されたことから、不正広告の問題がより深刻であることが明らかになりました。実際、トレンドマイクロのサポート窓口への問い合わせから金銭被害に遭った人の約6割がGoogle広告経由でサポート詐欺サイトに誘導されていることが分かりました。Google広告による不正広告は、人気のある情報サイトやブログサイトなどに掲載され、以下のような内容が目立ちました。
・広告掲載元の正規コンテンツと誤認させるもの
・地図や旅行に関連したもの
・健康や災害に関連したもの
・時事問題に関連したもの
・マッチングサービス(出会い系サイト)を装ったもの
2023年4月から5月にかけてはUFO関連の広告が多く掲載され、8月から9月にかけては、福島第一原発の処理水放出に便乗するものが目立ちました。なお、トレンドマイクロでは、Google広告に加え、SNSやその他の広告プラットフォームでもサポート詐欺サイトへ誘導する不正広告を確認しています。
図4:災害や時事問題に便乗したGoogle広告の例(2023年、日本)
全画面表示を用いた巧みな手口
2023年、攻撃者は被害者を騙す手法を進化させ、偽のセキュリティ警告を全画面で表示し、その解除を困難にする新しい工夫を多用しました。以前から偽セキュリティ警告では、目立つ警告文と大音量の警告音、さらには読み上げる音声を組み合わせていました。これらは被害者をパニックに陥れ表示された電話番号に電話をかけさせることが目的であると考えられます。2023年はこれをさらに一歩進め、全画面表示の解除をより難しくする工夫を凝らした偽セキュリティ警告サイトを確認しました。
具体的には、全画面表示に切り替わった直後に表示される解除方法を知らせるメッセージの背景に同系統の色を使い、解除方法を示す表示を見えづらくする手口(図5)や、被害者のキーボード操作を制御しキー入力を無効にするといった手口を確認しています。この手口では、全画面表示の解除が一般的な解除方法では行えず、ESCキーの2秒以上の長押しか[Ctrl]+[Alt]+[Del]が必要になります。
銀行振込による高額被害の発生
これまでのサポート詐欺は、ギフトカードによる支払いが主流であったことから数万円~数十万円の金銭被害に留まっていました。しかし近年では、インターネットバンキングの認証情報やワンタイムパスワードを聞きだし不正に送金する手口や、被害者に操作させインターネットバンキングを開かせ、遠隔操作を通じてサイバー犯罪者が振込金額を増やす(0を追加)といった送金の金額を改ざんすることで、より高額な金銭被害が発生している状況です。実際、トレンドマイクロのサポート窓口では、2023年に100万円以上の金額を支払った被害を複数確認しています(図6)。
法人組織での被害を複数確認
トレンドマイクロが公表内容をもとに整理しているインシデント事例の中で、2023年にサポート詐欺による法人被害の事例を10件確認しています。ほとんどの事例で共通して被害者のPCに遠隔操作ソフトをインストールさせ、攻撃者が遠隔操作可能な状態とされてしまいます。その時点でスパムメールの踏み台化や不正なサービスの利用、認証情報の窃取など様々な次の攻撃ステップを行う為に必要な状況が揃ってしまっているとも言えます。法人組織にとって、情報漏洩リスク、組織内への攻撃者の潜伏リスクに繋がるサポート詐欺は、無視できない脅威となる可能性を含んでいます。
参考:実例にみる、法人も注意すべきサポート詐欺の攻撃手法
まとめ
サポート詐欺に遭遇することは誰にでも起こり得ます。
近年、攻撃手口の巧妙化・悪質化により、多くの人が詐欺行為だと気が付かずに被害にあっているのが実情です。サポート詐欺の被害に遭わないために、セキュリティ警告が表示された場合には、まずはサポート詐欺を疑い、警告内容を無視してブラウザを閉じることが重要です。そして、問題発生や不安を感じる場合は、表示された問い合わせ先ではなく、新たに検索するなどして正規の問い合わせ窓口へ連絡することを推奨します。また万が一、サポート詐欺サイトにアクセスしてしまった時のために、サポート詐欺サイトへのアクセスを阻止したり、遠隔操作ソフトのインストール時に警告表示を行うセキュリティソフトを利用することが有効です。
加えて、法人組織としても、従業員に対して注意喚起・教育を行うなどの活動が重要です。サポート詐欺の具体的な攻撃手法やシナリオを社内に周知しておくことで、詐欺を見抜ける可能性は向上するでしょう。サポート詐欺の常套手段にある正規の遠隔操作ツールのインストールを阻止するためには、社内ルールとして新規のソフトウェアインストールの際に承認や確認が必要となることや、未許可ソフトのインストールに対して技術的な制約を設けることでもできます。組織への潜在的な被害を防ぎ、従業員を含む会社の資産を保護することが求められます。
参考:「国内サポート詐欺レポート 2024年版 ~変化する脅威の特徴と対策戦略~」
Security GO新着記事
ダークパターンとは?企業にとってのリスクを解説
(2024年11月20日)
PPAPだけじゃない?セキュリティリスクにつながりかねない商習慣3選
(2024年11月20日)
病院でランサムウェア被害が起きたらどうする?ボードゲームでシミュレーション
(2024年11月19日)
