2016年 8月中旬から「Chrome:ユーザー調査」と称する Web上の不審な表示を訴えるネット上の声が Twitter や各種 SNS などで見られています。トレンドマイクロでも同様の問い合わせを受けており、調査の結果、Chrome利用者だけでなく PC やモバイル利用者全体を対象に、最終的に利用者のクレジットカード情報を狙うフィッシングにつながる「アンケート詐欺」事例であることを確認しました。このようにアンケートやプレゼント当選の名目で利用者を誘導する手法は、昨年に本ブログで取り上げた「当選詐欺」の事例など、定期的に確認されており、いわばネット詐欺の「常とう手段」と言えます。今回のアンケートを偽装する手口も既に数年前から繰り返し見られている手法です。このような常とう化している攻撃に関してはその手口を周知することが有効な対策の1つとなりますので、本ブログ記事により繰り返される手口の注意喚起といたします。
図1: Chrome ユーザへのアンケート調査を偽装した Web表示の例
◆繰り返される「アンケート詐欺」の手口
今回の「アンケート詐欺」はインターネット利用者が一般の Webサイトを閲覧している際にアンケート詐欺サイトへ誘導されることが発端です。誘導の方法の詳細は確認中ですが、不正広告によるものと推測されます。このアンケート詐欺に利用された Webサーバは複数確認されています。特にアンケートのWebコンテンツをホストしたドメイン約2万件に対して調査したところ、8月8日から 8月28日までの 3週間で、日本からおよそ 1万3,000件のアクセスがあったことが確認されました。
図2: アンケート詐欺サイトへのアクセス数推移
同時に全世界からのアクセスは同じ期間におよそ 2万7,000件となっており、日本からの誘導が半分近くを占めていたことも判明しました。また、間隔をおいてアクセスの集中が確認されており、断続的に不正広告が配信されていたようです。アクセス数推移からは 8月15日、8月18日に試運転的な攻撃を行った後、8月24日から 27日の週末にかけて本格的な攻撃が実施されたものと推定されます。
今回の事例では、「Chromeユーザーの皆様、」というタイトルのポップアップが表示されたという例が多く報告されています。しかしこれはChromeユーザのみを狙ったものというわけではなく、実際には使用するブラウザに応じて表示が変化することを確認しています。
図3: Internet Explorerでアクセスした場合のアンケート詐欺Web表示の例
また、PC 以外にも Android、iOS などのモバイル端末でも同様に一般 Webサイトからアンケート詐欺への誘導が発生します。
図4: モバイル端末でアクセスした場合のアンケート詐欺 Web表示の例
(左:iOS の Safari、右:Android の Chrome)
このポップアップ表示内の OKボタンをクリックするとアンケートのページが表示され、回答すると「HD Streaming Movies」を獲得できる、という名目で利用者の興味を引きます。アンケートは全4問で「どのくらいの頻度で<ブラウザ名>を使用しますか?」、「<ブラウザ名>の前バージョンにはどの程度満足していましたか?」、「他のウェブブラウザで使用するものはどれですか」、「どのぐらいの頻度でインターネットを利用しますか?」という特にブラウザ関連のアンケートとしておかしくない質問が並んでいます。ここまでの時点では特に不審な点は少なく、ブラウザやモバイル端末で表示を変えるなどの巧妙な手法と相まって利用者が本物の Webアンケートと信じてもおかしくないかもしれません。
そして利用者がすべてに回答すると、いかにも何らかの処理をしているようなプログレスバーなどの表示のあと、「参加のお礼」として「HD Streaming Movies」を無料提供するという旨の表示がなされます。
図5: アンケート参加のお礼として「HD Streaming Movies」を無料提供するという Web表示の例
この表示では「MEGAFLIX」という動画配信サービスが無料で受けられるように見えますが、この時点で「不審さ」を感じる人は多いのではないでしょうか。この「MEGAFLIX」は数年前から同様のネット詐欺でよく登場する名称ですが、実際にはこの名称の動画配信サービスはWeb検索しても出てこない不審なサービス名です。また、実際に「お礼」を受け取るためにボタンをクリックすると、当初表示されていた「MEGAFLIX」とはまた異なる名称の不審な動画配信サービスの Webページに誘導されます。この辺りは手口として巧妙さに欠け、利用者が不審に気づくことのできるポイントとなっています。
図6: 動画配信サービスへのサインアップを偽装した Web表示の例
図7: 「アカウント確認」と称してクレジットカード情報の入力を促す Web表示の例
最終的には動画配信サービスへの会員登録のあと、「居住国の確認のため」と称してクレジットカード情報の入力を促されます。これらの入力した内容はすべてサイバー犯罪者に詐取されてしまうことになります。
今回の事例ではサイバー犯罪者の最終目的はクレジットカード情報詐取のフィッシング詐欺でした。しかし、同様の手口から最終的にどのような脅威へ誘導するかはサイバー犯罪者の意思にかかっています。例えば広告のクリックや正規ソフトのインストールからのアフィリエイト狙いの場合もあれば、ランサムウェアやオンライン銀行詐欺ツールのように金銭を狙うより悪質な脅威へ繋がっていた事例もあります。このような詐欺手口に騙されないようにすることはもちろんですが、興味本位でアクセスした場合にも同様に危険に直結していることを認識してください。
■ 被害に遭わないためには
今回の件でもそうですが最近の事例では、正規サイトやサービスの利用時であっても不正広告や SNS上での書き込みやダイレクトメッセージなどの手口により不正サイトへ誘導される可能性が高くなっています。「不審なサイトへアクセスしなければ大丈夫」という考えは既に過去のものです。いつも見ているサイト上での表示や友人からのメッセージであったとしても、誘導先サイトの正当性に注意してアクセスしてください。特に短縮 URL はアクセス先のサイトが一見してわからないため、さらなる注意が必要です。また、モバイル端末では画面範囲の制約などからアクセス中の URL が確認しづらいことが多いため、これもさらなる注意が必要です。
■ トレンドマイクロの対策
今回の攻撃で確認されたようなネット詐欺に関連する不正サイトは「Webレピュテーション(WRS)」技術でアクセスをブロックしています。「ウイルスバスタークラウド」、「ウイルスバスターコーポレートエディション」、「ウイルスバスタービジネスセキュリティサービス」などのエンドポイント製品や、「ウイルスバスターモバイル」、「Trend Micro Mobile Security」などのモバイル端末向け製品では、WRS技術により不正サイトへのアクセスをブロックできます。特に法人利用者の場合、「InterScan Web Security Virtual Appliance」、「Cloud Edge」などのゲートウェイ製品によって、LAN内全体からの不正サイトへのアクセスを一括してブロックすることができます。
※調査協力:日本リージョナルトレンドラボ(RTL)