プライバシーリスク
東京オリンピック開会直前、偽のTV放送予定ページからブラウザ通知スパムへ誘導する攻撃を確認
7月26日の時点でも、引き続き同種の不審スポーツ中継サイトへ誘導する偽装ページがWeb検索で確認されています。偽装ページは正規サイトの改ざんもしくは乗っ取りによる投稿の手口は変わっていませんが、誘導先はブラウザ通知スパムに加え、不審サイト上で動画視聴のためと称してメールアドレスなどの個人情報を登録させる手口も確認しました。今後も同様の不審サイトへの誘導手口が継続するものと考えられます。騙されないためにもこのような手口に対する注意が必要です。
※7月26日更新 (当初公開日7月19日)
7月26日の時点でも、引き続き同種の不審スポーツ中継サイトへ誘導する偽装ページがWeb検索で確認されています。偽装ページは正規サイトの改ざんもしくは乗っ取りによる投稿の手口は変わっていませんが、誘導先はブラウザ通知スパムに加え、不審サイト上で動画視聴のためと称してメールアドレスなどの個人情報を登録させる手口も確認しました。今後も同様の不審サイトへの誘導手口が継続するものと考えられます。騙されないためにもこのような手口に対する注意が必要です。
図:7月26日時点で確認した不審スポーツ中継サイトへの誘導を行うWebページの例
本文はニュース記事などをコピーしたものと推測される
図:誘導先の不審スポーツ中継サイトの例
図:別の不審スポーツ中継サイトの例
視聴のために会員登録を促す
-----------------------------------------------------------------------------------------------------------
東京オリンピックの開会が目前に迫った7月19日、トレンドマイクロでは東京オリンピックのTV放送予定を偽装したWebページから不審なスポーツ中継サイトへ誘導される事例を確認しました。19日時点のトレンドマイクロの調査によれば、この不審なスポーツ中継サイトは利用者にブラウザ通知を許可させ悪質な広告を表示するいわゆる「ブラウザ通知スパム」に誘導するものとなっていました。
図1:不審なスポーツ中継サイトの表示例
図2:不審なスポーツ中継サイト内のリンクをクリックした際に表示される別サイトの例
キャプチャ認証と誤解させてブラウザ通知の「許可」ボタンをクリックさせる手口
図3:通知を許可した場合に表示される「ブラウザ通知スパム」の例
セキュリティ製品の購入ページへ誘導し購入を促すアフィリエイト目的と推測される
また、この不審サイトへの誘導を行うために作成されたと見られる、東京オリンピック関連のTV放送予定を偽装した不正なWebページも複数確認しました。これらの偽ページは、使われている文言などから目前に迫ったオリンピックのTV放送を確認しようと一般利用者がWeb検索した場合に、検索結果に交じって表示されることを狙ったものと推測されます。ただし、7月19日12時時点で確認した際には、これらのページはGoogle検索では表示されなくなっており、サイバー犯罪者の目論見は既に頓挫したものと言えます。
図4:不審スポーツ中継サイトへの誘導を行うWebページのGoogle検索による表示例
いずれも欧州の楽器メーカの正規ドメイン内に存在しており、改ざんによって設置された可能性がある
図5:誘導ページの表示例:すぐに不審スポーツ中継サイトへ遷移するため表示はほんの一瞬のみ
過去、オリンピックなどの世界的イベントが開催される際には、必ずその話題性に便乗しようとするサイバー犯罪の動きが見られてきましたが、今回確認した詐欺サイトとその誘導サイトもその1つの例と言えます。
■予想されるオリンピック便乗脅威
本ブログでも過去に様々なオリンピック関連脅威を報告してまいりましたように、他の大規模なスポーツイベントと同様、オリンピックもサイバー犯罪たちによる「便乗の対象」となってきました。世界的なイベントに便乗する他の脅威と比べても、オリンピックに便乗した脅威の場合、手法の点では大差はなく、むしろ、オリンピック関連でユーザに人気のオンライン検索や各種イベントに便乗するかたちで、サイバー犯罪者たちは、従来の手口をうまく利用しているというべきでしょう。過去に見られたオリンピックに便乗した脅威では、以下のように様々な手口が駆使されています。
- オリンピック関連の話題を含む電子メールやメッセージから不正サイトへ誘導したり、添付ファイルを開かせようとする
- SEOポイズニングなどを駆使し、オリンピック関連のキーワードで検索すると、検索結果ページの上位にフィッシングサイトやその他の不正サイトへのリンクが表示される。一般利用者は、これらのサイトが正規であると簡単に信じ込んでしまい、閲覧したサイトから個人情報を収集されたり、不正プログラムに感染したりといった被害に見舞われることになります。
オリンピックのファンである利用者が、これらの脅威に遭遇した場合、気づかないうちに大きな被害に見舞われる可能性があります。改ざんされたスポーツ関連サイトにより、ユーザのコンピュータにマルウェアが作成されてしまったり、スパムメールのメッセージ内に不正なリンクや添付が含まれていたり、偽のビデオストリーミングサイトでは、偽セキュリティソフトの購入を促されたりといった被害がもたらされるからです。
また別の手口では、通常は無料で配布されるはずのないオリンピック関連アイテムなどを提示し、特別割引で入手できるなどと偽って利用者を惹きつける詐欺なども考えられます。結果としてユーザは、偽の購入手続きをして金銭的な損害に見舞われたり、入力した個人情報等も収集されたり、といった被害に遭うことになります。
オリンピック関連の情報は、公式のオリンピックサイトやスポンサーのサイト等から入手することができますが、この際に注意すべきは、Eメールや、インスタント・メッセンジャ(IM)や、ソーシャルメディア関連のメッセージを介したオリンピック関連のリンクを安易にクリックしないという点です。また、サイバー犯罪者がSEOポイズニングの手口を駆使して、検索結果ページの上位に不正なリンクを表示させる点にも注意が必要です。こうした不正なリンクから、ユーザは、不正プログラムの感染被害に見舞われたり、特別に細工されたWebサイトやWebページに誘導されたりするからです。たとえば、2010年バンクーバー冬季オリンピックに便乗した事例がこのケースに相当します。この場合、検索エンジンの検索結果ページの上位に不正リンクが表示されるようになっており、この不正リンクは、Windows Media Playerを更新するサイトを装っていましたが、実際は、不正プログラムが組み込まれていました。
これまでのオリンピックでは偽のチケット販売サイトや、無料チケットを餌にした詐欺サイトといった手口も確認されてきました。ただし、今回の東京オリンピックでは多くの会場で無観客開催となるため、同じ手口は通用しないものと言えます。代わりにTV放送やストリーミングによるネット配信などの偽サイトの可能性が高まるものと言えます。
その他の起こり得るオリンピック関連のサイバー犯罪手口をまとめます。
開催中:偽のライブストリーミングや動画、Twitterハッシュタグ・ハイジャック、オリンピック選手のスキャンダル画像やソーシャル・ネットワーキング・サービス(SNS)アカウントを利用する詐欺、偽アプリなど
閉幕後:オリンピック選手の言動に関する賛否・議論、オリンピック選手の身の回り品に関するオークション等を利用する詐欺
■被害に遭わないためには<
SEOポイズニングなどの手法によりWeb検索結果に広告や不審サイトが入り込む可能性を考えると、事前にブックマークした公式サイトや普段利用しているニュースサイト等を直接閲覧する方法が安全と言えます。検索サイトを利用する場合には、検索結果のURLをよく確認することで不審サイトを避けることができる場合があります。ネット経由でオリンピックを観戦したい場合、まず注意すべきは、公式サイトや提携サイトのストリーミングのみで観戦すべきという点です。今回の東京大会では「NHK+」、「gorin.jp」、「TVer」などが正規の配信サイトとなります。あまりよく知られていないストリーミングサイト、特に「アクセス制限のない動画サイト」などと強調しているサイトは、サイバー犯罪者によって巧妙に仕組まれたワナである可能性が高く、こういったサイト上でクリックする際には十分な注意が必要です。うっかりクリックすると、不正プログラムの感染や個人情報の詐取といった結果を招く可能性があります。
■トレンドマイクロの対策
偽サイト対策:
トレンドマイクロでは、オリンピックに便乗した偽サイトやフィッシングサイトなどの不正サイトを「Web レピュテーション(WRS)」技術によりブロックします。また、不正サイトへの誘導を行うフィッシングメールに関しては「E-Mail レピュテーション(ERS)」技術によりフィルタリングします。