警察を偽装したネット詐欺を国内で新たに確認

トレンドマイクロでは、継続してネット詐欺や不正プログラム拡散を狙う不正サイトの監視を行っています。その中で、ランサムウェアの攻撃では定番の 1 つである「ポリスランサム」に似た手法を応用した詐欺サイトを確認しました。「ポリスランサム」とは、警察などの法執行機関を偽装し「ネット上で違法行為を行った」という名目の表示を行い、「罰金」を要求する手口です。このポリスランサムの手口をネット詐欺に応用した新たな金銭目的の攻撃が、日本にも流入していることになります。

図1
図 1:「警察庁」を偽装した詐欺サイトの表示例

今回確認された詐欺サイトは日本の警察庁のサイトを偽装し、利用者が「幼児猥褻や動物虐待」の内容を含むコンテンツを閲覧した、という名目で「違反金」を請求します。請求される「違反金」は 2 万~5 万円を確認しており、支払方法としては iTunes カードが指定されています。トレンドマイクロでは、今回の詐欺サイトを 7 月 27 日前後から確認しており、30 日の日曜日までの 4 日間に国内利用者からのアクセスを 2500 件以上ブロックしました。

図2
図 2:国内から「警察庁」を偽装した詐欺サイトへのアクセスブロック件数推移

今回の詐欺サイトの非常に巧妙な特徴として、ブラウザの全画面表示の機能を利用し、ブラウザのタグや URL 表示、右上の「閉じる」ボタン、「縮小」ボタン、Windows のタスクバーなどすべてを偽装する点があります。前出の図 1 の表示は実際にはすべてブラウザの全画面表示内の表示です。画面上では実際の警察庁サイトの URL(www.npa.go.jp)がブラウザ上で表示されているように見えるため、利用者は正規サイト上でのメッセージのように誤解する可能性があります。また、ブラウザの「閉じる」ボタンや Windows のスタートボタンをクリックしてもウインドウのクローズやスタートメニューの表示は行われません。そのため、この表示を見た利用者は、使用している PC がロックされ、操作できなくなったものと思い込んでしまう可能性があります。図 3 はブラウザの全画面表示を解除した状態の表示例です。すべてがブラウザ内での表示であることがわかります。

図3
図 3:ブラウザの全画面表示を解除した場合の詐欺サイトの表示例

トレンドマイクロの調査では、この詐欺サイトへの誘導元はアダルトサイトであることがわかっており、動画再生や外部リンクの偽装、もしくは不正広告により詐欺サイトが表示されるものと推測されます。詐欺サイトの表示と共に警告音が再生される場合もあります。

図4
図 4:詐欺サイトの難読化された HTML 内から、警告音を再生する部分のコードの難読化を解除した例

また詐欺サイト自体は、単一の IP アドレス上に大量のドメインを登録する手口で作られており、詐欺サイトをホストしたドメインは変化を続けています。これらの手口は、既に確認されている日本を対象としたサポート詐欺サイトの手口とも似ています。サポート詐欺では多国語の展開が確認されていますが、今回の法執行機関を偽装する手口でも、ドイツ語やフランス語の同一デザインの詐欺サイトをトレンドマイクロでは確認しており、この点でも他のサポート詐欺との類似点が見出せます。

図5
図 5:フランス語の詐欺サイト表示例図

図6

図 6:ドイツ語の詐欺サイト表示例

ワンクリック詐欺やサポート詐欺、当選詐欺、アンケート詐欺など、日本のインターネット利用者を狙うネット詐欺の手口では様々な新しい動きが見られています。今回の詐欺サイトが確認される直前の7月26日には、Google を偽装するスミッシング(SMS によるフィッシング詐欺への誘導)を行っていた容疑者が国内で逮捕されたことが報道されたばかりですが、インターネット利用者から金銭や情報の詐取を目論むサイバー犯罪者は後を絶ちません。今後もネット詐欺の新しい手口を知り、騙されないようにする注意が必要です。

■被害に遭わないためには

サイバー犯罪者はインターネット利用者の金銭や個人情報を狙い、次々と新しい手口を繰り出しています。これに対し、利用者は今回のようなネット詐欺の最新手口を知り、だまされないようにすることが重要です。警察からの警告など、法執行機関の権威を利用する手口は詐欺の基本と言えます。ネット上での行動の際には、最後にもう一度立ち止まって考える習慣を身につけてください。もちろん、心がけだけでは見抜けない巧妙な手口も増えているため、セキュリティ対策製品を導入して守ることも必要です。

参考:

■トレンドマイクロの対策

ネット詐欺に関連する不正サイトは「Webレピュテーション(WRS)」技術でアクセスをブロックします。「ウイルスバスタークラウド」、「ウイルスバスターコーポレートエディション」、「ウイルスバスタービジネスセキュリティサービス」などのエンドポイント製品や、「ウイルスバスターモバイル」、「Trend Micro Mobile Security」などのモバイル端末向け製品では、WRS 技術により不正サイトへのアクセスをブロックできます。特に法人利用者の場合、「InterScan Web Security Virtual Appliance」、「Cloud Edge」などのゲートウェイ製品によって、LAN内全体からの不正サイトへのアクセスを一括してブロックすることができます。

※調査協力 林憲明(シニアスレットリサーチャー)、松川博英(シニアスレットリサーチャー)

Related posts:

  1. Apple人気を狙うネット詐欺手口: 新発売Apple Watchの詐欺サイトを初確認
  2. ネットバンク利用者攻撃ツール作者が罪を認める-トレンドマイクロがFBIに捜査協力
  3. アンダーグラウンドで新たに販売される「BlackOS」とサイバー犯罪者「Severa」
  4. 台湾の機関を狙う標的型攻撃を確認。Microsoft Wordに存在したゼロデイ脆弱性「CVE-2014-1761」を利用