海外では2012年頃から「Tech Support Scam」(テクサポ詐欺、サポート詐欺)と呼ばれるネット詐欺の手口が継続的に見られています。手口としては、ブラウザ上で「ウイルス感染」や「システムの不調」を示す表示で利用者の不安をあおり、画面上に表示されているサポート電話に問い合わせをさせる、というものですが、日本では 2015年頃から本格的な流入が見られており、本ブログでも 2015年6月の記事「「ウイルスが検出されました!」日本語音声で「警告」する詐欺サイトを初確認」で既に取り上げています。その後も攻撃は継続して見られており、トレンドマイクロサポートセンターへの「サポート詐欺」関連の問い合わせ数は2016年を通じて増加傾向を示しています。このようなネット詐欺に関してはその手口を周知することが有効な対策の1つとなりますので、本ブログ記事により継続する「サポート詐欺」手口の注意喚起といたします。
「ウイルス除去」の名目で「マイクロソフトソフトウェアエキスパート」へ問い合わさせるパターン
日本語音声でウイルス感染を警告する手口も継続
■「サポート詐欺」の手口
「サポート詐欺」の発端はインターネット利用者の元で「サポート詐欺」サイトが表示されることです。「サポート詐欺」サイトへの誘導手段としては、不正広告が確認されています。このため、一般のWebサイトのみを閲覧していたとしても「サポート詐欺」に遭遇する可能性があります。これは以前に本ブログでも取り上げた「アンケート詐欺」や「当選詐欺」などと同様であり、不正広告はネット詐欺誘導の常套手段となっているものと言えます。
「サポート詐欺」サイト上ではウイルス感染やシステムの異常などを示す表示を行い、誘導されたインターネット利用者の不安をあおります。昨年の事例では日本語音声でウイルス感染を警告するものが確認されていましたが、現在も同様の手口が継続しています。また、ビープ音で警告するものも見られています。
1とパターンは同じだが日本向けということかエキスパートの名前、写真が日本人風になっている
「レジストリ障害」の名目で「Windowsサポート」へ問い合わさせるパターン
「Google Security Warning」の名目で「Windowsサポート」へ問い合わさせるパターン
一般的にいう「ブルースクリーン」の表示を偽装し「公式技術者」へ問い合わさせるパターン
■「問い合わせ」により起こる「実害」は?
これらの「サポート詐欺」サイトの表示に不安をあおられ、表示されている電話番号に問い合わせをした場合、どのような実害が発生するのでしょうか。トレンドマイクロの確認では、実際に電話を掛けると日本語を話す人物が対応しサポート的な確認を行います。そして、リモートサポートを行うためと称して「AnyDesk」や「TeamViewer」といった正規のリモートデスクトップツールをインストールさせ、調査と称してリモートでいくつかのコマンドを実行します。この「調査」の内容ですが、トレンドマイクロが実際に確認した事例では単に Windowsのコマンドである「tree」と「netstat」を実行しているだけでした。
電話の対応者は「調査」の結果、発生していたウイルス感染やシステムの障害を解決するために、有償サポート契約を勧めます。ここまでの経緯から考えても、この「有償サポート契約」は実態を伴わない「詐欺」であると思われます。
このように、トレンドマイクロが調査した国内の「サポート詐欺」事例では、インターネット利用者からサポート契約の名目で金銭を詐取する目的であると確認できました。しかし、海外ではリモートサポートから最終的にランサムウェアなどの不正プログラムを感染させられた事例も確認されています。PC の遠隔操作をサイバー犯罪者に許してしまうわけであり、どのような被害に遭うかはまさにサイバー犯罪者の意図次第、と言えます。
■「サポート詐欺」の背後にあるもの
様々なパターンが見られる「サポート詐欺」ですが、どのようなサイバー犯罪者が行っているのでしょうか。もちろん、日本語で詐欺サイトを作成すると同時に、日本語で対応できる「サポート要員」を確保できるサイバー犯罪者グループであることは確かです。トレンドマイクロが行った調査では、この偽サポートの電話番号は 10種類以上を確認しており、異なる画面の「サポート詐欺」でも同じ電話番号を使用している場合がありました。このような同じ電話番号を使用している詐欺サイトは同一のサイバー犯罪者グループによるものと考えられます。
「サポート詐欺」サイトの多くは固定IP上のサーバにホストされていますが、クラウドサービス上にホストされているものも確認されています。「サポート詐欺」サイトの URL は膨大な数が見つかっていますが、実際にはすべて1つの固定IP に名前解決されるものであり、セキュリティベンダーによるブロックを免れるため、時間の経過と共に URL が変化していく手法を使用しているものと思われます。このように同一IP のホストを使用している詐欺サイトは同一のサイバー犯罪者グループによるものと考えられます。そして、この電話番号と「サポート詐欺」サイトをホストするサーバの相関関係から推測すると、日本を対象とする「サポート詐欺」は、多くとも 2グループほどのサイバー犯罪者が行っているのではないかと思われます。
■被害に遭わないためには
今回の「サポート詐欺」事例でもそうですが最近のネット詐欺事例では、正規サイトやサービスの利用時であっても不正広告や SNS上での書き込みやダイレクトメッセージなどの手口により、不正サイトへ誘導される可能性が高くなっています。「不審なサイトへアクセスしなければ大丈夫」という考えは既に過去のものです。いつも見ているサイト上での表示や、友人からのメッセージであったとしても、誘導先サイトの正当性に注意してアクセスしてください。特に短縮URLはアクセス先のサイトが一見してわからないため、さらなる注意が必要です。また、モバイル端末では画面範囲の制約などからアクセス中の URL が確認しづらいことが多いため、これもさらなる注意が必要です。
■トレンドマイクロの対策
今回の攻撃で確認されたようなネット詐欺に関連する不正サイトは「Webレピュテーション(WRS)」技術でアクセスをブロックしています。「ウイルスバスタークラウド」、「ウイルスバスターコーポレートエディション」、「ウイルスバスタービジネスセキュリティサービス」などのエンドポイント製品や、「ウイルスバスターモバイル」、「Trend Micro Mobile Security」などのモバイル端末向け製品では、WRS技術により不正サイトへのアクセスをブロックできます。特に法人利用者の場合、「InterScan Web Security Virtual Appliance」、「Cloud Edge」などのゲートウェイ製品によって、LAN内全体からの不正サイトへのアクセスを一括してブロックすることができます。
調査協力:川畑 公平(Regional Trend Labs)
