サイバー犯罪
「日本で撮影されたUFO」 - 不正広告で誘導するサポート詐欺に注意
「日本で撮影されたUFO」などの説明がついた、何となく気になる画像がWebサイト閲覧中に目についたことはないでしょうか? その画像はあなたのクリックを誘発するためにサイバー犯罪者が広告として配信した画像かもしれません。
「日本で撮影されたUFO」などの説明がついた、何となく気になる画像がWebサイト閲覧中に目についたことはないでしょうか? その画像はあなたのクリックを誘発するためにサイバー犯罪者が広告として配信した画像かもしれません。このような広告は興味を引きクリックさせる目的で設計されており、興味のままにクリックすると思わぬトラブルを引き起こすことがあります。このように、利用者をネット上の危険に誘導する目的で表示される広告を「不正広告(Malvertising(マルバタイジング))」と呼びます。トレンドマイクロでは今回、UFOなどの画像を利用した不正広告により、利用者をサポート詐欺サイトへ誘導する手口が日本で急増していることを確認しました。本記事では、この「UFO不正広告」によるサポート詐欺キャンペーンについてその手口を解説し攻撃の実態に迫ります。
「サポート詐欺」とは?
「サポート詐欺」とは、利用者を騙し、自身のコンピュータやデバイスに問題があるかのように錯覚させ、有料のサポートを提供すると主張するネット詐欺の手法です。サイバー犯罪者は、偽のウイルス警告や問題表示画面を表示させることで、利用者を不安や恐怖に陥れ、画面に表示された「サポート窓口」の番号に電話するように仕向けます。多くの場合電話をかけた利用者は、トラブルを解決するためには「サポート契約」が必要という名目で、不要な支払いを要求されます。また、「サポートを受けるため」という名目でリモートアクセスツール(遠隔操作ソフト)をインストールさせられる場合もあり、可能性としては個人情報を盗まれたりデバイスを悪用されたりすることも考えられます。一般的に個人利用者を狙う攻撃と考えられていますが、国内の自治体や民間企業においても被害が報告されています。
UFOサポート詐欺キャンペーンの特徴
今回確認したサポート詐欺キャンペーンの特徴として、以下の5点があげられます。
1. UFOなど独特な画像を利用した不正広告
誘導のための不正広告では、主にUFO目撃情報など、図1で示したような独特な画像が用いられています。これらの特徴的な画像は、様々な画像素材を提供するストックフォトサービスサイトの写真が悪用されているようです。
2. オンライン広告プラットフォームの利用
今回のキャンペーンでは、複数の正規サイト上に不正広告が表示されていたことを確認しています。多くのWebサイトでは、Webトラフィックを収益化するためにオンライン広告プラットフォームを利用し、広告を表示しています。オンライン広告プラットフォームは、Webサイトを閲覧した利用者の興味がありそうな広告を選択して表示します。サイバー犯罪者はこの正規のオンライン広告の仕組みを悪用し、不正サイトへ誘導するための広告を正規サイト上に表示させたものと推測されます。
不正広告を利用者がクリックすると、サポート詐欺のための偽のウイルス警告画面が表示されます。調査では、今回のキャンペーンの不正広告はGoogleアドセンス経由で配信されていた例を確認しており、大手サイトを含め広い範囲のWebサイトで表示されたものと考えられます。以下の図3は天気情報サイト上で表示された不正広告の例です。「福島市上空の不可解な現象」という文字だけの不正広告ですが、天気に関する情報を得ようとした利用者が興味を引かれる場合も考えられます。
3. デコイサイトの利用
不正広告をクリックすると、まず広告のランディングページに接続され、その後、偽警告画面表示するサポート詐欺サイトに転送されます。このランディングページはデコイサイト(相手を惑わし注意を本来の目標から逸らす目的で設計されたサイト)となっており、調査用の環境(VPNやTorブラウザ、Seleniumなどの自動化ツールを利用した環境など)からアクセスすると一見、ニュースなどの正規サイトに見える内容が表示される仕組みになっていました。このような条件付き転送の仕組みは広告審査を通過するために有効であると考えられます。
中には実際の正規ニュースサイトの内容を、そっくりコピーしたと思われるデコイサイトもありました。確認したところ、コピー元のニュースは2023年4月14日時点のものと思われます。
4. Azure Blob Storageの利用
今回のキャンペーンでは、偽の警告画面を表示するサポート詐欺サイトとして、Azure Blob Storageの静的Webサイトホスティング機能が利用されていました。具体的には、Azure Blob Storageで公開用のコンテナを作成しその中にWebサイトの静的ファイル(HTML, CSS, JavaScript, 画像ファイル等)を配置することで、そのコンテナに対する以下の公開URLが生成される仕組みです。
<Azureアカウント名>.blob.core.windows.net/$web/*
トレンドマイクロSPN (Trend Micro Smart Protection Network)のテレメトリデータからの調査
今回のサポート詐欺キャンペーンの規模感を把握するため、トレンドマイクロSPNによるテレメトリデータを使用しました。
1. サポート詐欺サイトへのアクセス数推移
このキャンペーンは、まず4月24~25日の二日間に小さな規模で開始されたものとみられます。そして数日間のインターバルのあと、4月29日に再開されました。その後はアクセス数が徐々に増加し、5月14日には1日の間にアクセスしたユニークデバイス数が初めて1万を超え、12,513件を数えました。その後も比較的高水準で推移しています。
2. 不正広告が掲載されたサイトの状況
このキャンペーンでは、4/24から5/19までの間に、1,000以上のWebサイトで不正広告が表示されていることを確認しました。不正広告は、オンライン広告プラットフォームを通じ、多くの有名なWebサイトにも掲載されていました。
3. 偽警告を表示するサポート詐欺サイトの状況
4/24から5/19までの間に観測したこのキャンペーンに利用されたサポート詐欺サイトのホスト数は200件を超えました。これらのホストにはAzure Blob Storageの静的Webサイトホスティング機能が利用されていますが、ほとんどは約1日しか使われず使い捨てにされていました。
4. デコイサイトの状況
4/24から5/19までの間に1300以上のドメインがこのキャンペーンのデコイサイトとして利用されていることを確認しました。これらデコイサイトのドメインを調査した結果、これらには最近新たに作成されたものだけでなく、過去に存在したが期限切れになったドメインが再利用されているケースも多く存在していることが分かりました。期限切れのドメインが再利用されることによって、広告をクリックした利用者だけでなく、古いURLに直接アクセスしてきた利用者もサポート詐欺サイトに誘導されることになります。また、それら1300以上のドメインのホストのIPアドレスは3つに集約され、その全てのIPアドレスはロシアに所在するものでした。
まとめ
本記事では、最近観測されたUFOサポート詐欺キャンペーンについてその手口の特徴を解説するとともに、トレンドマイクロのテレメトリデータから見える攻撃の状況を説明しました。今回のキャンペーンでは、オンライン広告プラットフォームを利用して不正広告を掲載し、利用者を騙して偽警告画面へ誘導します。不正広告では独特なUFOなどの画像が使われており、これが利用者の注意を引く要素となっています。また、調査・追跡を回避するデコイサイトの仕組みや正規サービスであるAzure Blob Storageの利用など、巧妙な手法が用いられています。
被害に遭わないためには
サイバー犯罪者たちは巧妙に利用者を騙すために、常に新しい方法を模索しています。UFOの画像を使った広告は、時が経つと別の形に変化していくでしょう。しかし、誘導先のサポート詐欺サイトで表示される「警告画面」は実態のないまやかしであることは変わりません。警告が表示されたとしても、落ち着いて画面を閉じることでトラブルを避けることができます。サイバー犯罪者の罠に引っかからないように、大きな音が鳴ったり、過剰な警告メッセージが表示されたりしたとしても、冷静さを保つことが大切です。現実世界の特殊詐欺(オレオレ詐欺)同様、騙されないようにするために、常に最新の詐欺手口について学び、セキュリティに対する意識を高めましょう。また、画面に表示される電話番号には絶対にかけないようにし、どう対応すべきかわからないときは、信頼できる専門家に助けを求めましょう。
「偽の警告画面」が表示されている場合:
偽のウイルス警告画面が表示されたまま閉じることができない場合の対処方法については、以下のヘルプセンターサイトを参考にしてください:
一般的な「サポート詐欺」の情報に関しては、以下の参考リンクも参照ください
警視庁: ウイルス感染の警告とサポートへの電話番号が表示された
https://www.keishicho.metro.tokyo.lg.jp/sodan/nettrouble/jirei/warning_screen.html
警察庁: 不審なセキュリティ警告画面や警告音が出た際の一般的な対処方法
https://helpcenter.trendmicro.com/ja-jp/article/tmka-11115
国民生活センター: そのセキュリティ警告画面・警告音は偽物です!「サポート詐欺」にご注意!!-電話をかけない!電子マネーやクレジットカードで料金を支払わない!-
https://www.kokusen.go.jp/news/data/n-20220224_2.html
IPA: 偽セキュリティ警告(サポート詐欺)の月間相談件数が過去最高に
https://www.ipa.go.jp/security/anshin/attention/2022/mgdayori20230228.html
執筆:松川博英(フォワードルッキングスレットリサーチ)
調査協力:河田芳希( サイバーセキュリティイノベーション研究所スレットインテリジェンスセンター)、本野賢一郎(Consumer Security Operation Center)、岩井雄大(Consumer Security Operation Center)
記事構成:岡本勝之(セキュリティエバンジェリスト)