「サポート詐欺」の手口が変化、SNSの投稿を検索結果に表示させ詐欺ページに誘導

「Tech Support Scam」(テクサポ詐欺、サポート詐欺)と呼ばれるネット詐欺は長年にわたって海外および日本で確認されています。その手口は、技術的な悩みを解決すると偽り、電話またはメールによる連絡、Webサイト、ポップアップ広告、時にはフィッシングサイトなどを通してユーザを騙し、最終的に個人情報(Personal Identifiable Information、PII)や金銭を詐取するというものです。出現から何年も経っているにもかかわらずこのようなサポート詐欺は継続して確認されています。Microsoftの調査によると、2018年には消費者の63%がなんらかの形でサポート詐欺を経験しました。このような結果は、サポート詐欺の攻撃者が手口を多様化させていることに起因しているかもしれません。

同調査では、企業はユーザが望まない連絡を行わないと考える消費者の割合が増加していることも明らかになりました。また、GoogleMicrosoftのような企業はサードパーティによるオンライン技術サポート広告に関するポリシーを厳格化しています。このような状況を受けてか、サポート詐欺はその手口を新しい領域に広げています。本記事では、ソーシャル・ネットワーキング・サービス(SNS)への投稿を検索結果に表示させることでユーザをサポート詐欺に誘導する手口について解説します。また、偽の無料通話番号を各SNSで検索したところ興味深い事実も判明しました。

■サポート詐欺の流れ

トレンドマイクロは、さまざまなSNSでサポート詐欺に関連した投稿を確認しています。攻撃者は偽のアカウントを作成し、多くのキーワードを含む投稿を行います。これにより、技術的な悩みを持つユーザが情報を検索すると攻撃者の投稿が検索結果に表示されるようになります。これらの投稿は、ユーザにサポート詐欺ページへのリンクをクリックするように、あるいは記載されている無料通話番号に電話をかけるように促します。ユーザがサポート詐欺であることに気付けなかった場合、攻撃者の指示に従ってソフトウェアをダウンロードする、個人情報を提供する、サービス料と称した料金を支払ってしまう等の被害を受けることになります。

SNSへの投稿を利用したサポート詐欺の流れ

図1:SNSへの投稿を利用したサポート詐欺の流れ

■正規企業に偽装

図2~4のように、サポート詐欺に関連するアカウントは正規企業になりすまし、不正なWebサイトへのリンクを投稿します。各セキュリティ企業やプリンタ等の機器を製造する企業に偽装したアカウントが確認されています。また、不正なWebサイトには、ユーザの氏名、メールアドレス、そして電話番号のような個人情報を要求するフィッシングサイトも含まれます。

Twitterで確認されたサポート詐欺の投稿Twitterで確認されたサポート詐欺の投稿Twitterで確認されたサポート詐欺の投稿

図2:Twitterで確認されたサポート詐欺の投稿

YouTubeで確認されたサポート詐欺動画

図3:YouTubeで確認されたサポート詐欺動画

Facebookで確認されたサポート詐欺ページ

図4:Facebookで確認されたサポート詐欺ページ

図5はトレンドマイクロの技術サポートページに偽装した詐欺ページです。このページは正規のWebサイトからバナーをコピーしていました。

トレンドマイクロの技術サポートページに偽装した詐欺ページ

図5:トレンドマイクロの技術サポートページに偽装した詐欺ページ

トレンドマイクロの公式サポートページ

図6:トレンドマイクロの公式サポートページ

2019年2月8日の記事で解説したように、トレンドマイクロ製品を詐称する偽のポップアップ警告も確認されています。

トレンドマイクロ製品を詐称する偽傾向の表示例

図7:トレンドマイクロ製品を詐称する偽傾向の表示例

■検索エンジン最適化

攻撃者は製品や企業に関連するキーワードと画像を投稿に含めることによって「検索エンジン最適化(Serch Engine Optimization、SEO)」を図り、SNSの検索結果に表示される機会を増やそうとしているようです。非常に多くのユーザがSNSを頻繁に利用していることを考慮すると、サポート情報を検索した際にこのような投稿を目にすることになるかもしれません。

■利用された無料通話番号と各SNSでの検索結果

攻撃者は、さまざまな製品や企業の連絡先だと偽って無料通話番号をSNSや偽サイトで宣伝しています。調査した無料通話番号の1つ「1-888-XXX-6495」についてGoogle検索したところ、この番号は複数のセキュリティ企業、Webメールサービス、プリンタの顧客サービスおよびサポート、文書作成ソフトの設定サポート、ブラウザのサポートなどを装った偽サイトでサポート詐欺に利用されていることが判明しました。「1-888」、「1-800」、「1-877」は米国の無料通話サービスで利用されている番号です。

無料通話番号「1-888-XXX-6495」をGoogleで検索した結果

図8:無料通話番号「1-888-XXX-6495」をGoogleで検索した結果

写真共有SNS「Pinterest」で問題の電話番号を検索したところ、図7のようにあるセキュリティ企業を装った類似した投稿が見つかりました。

無料通話番号「1-888-XXX-6495」をPinterestで検索した結果

図9:無料通話番号「1-888-XXX-6495」をPinterestで検索した結果

また、別の番号「1-877-XXX-8737」をYouTubeで検索したところ、異なるセキュリティ企業を装ったサポート詐欺動画を確認することができました。通常、特に競合関係にある場合、別々の企業が技術サポートのために同一の電話番号を共有するということは考えられません。これは明らかに詐欺のための番号だということが分かります。

無料通話番号「1-877-XXX-8737」をYouTubeで検索した結果

図10:無料通話番号「1-877-XXX-8737」をYouTubeで検索した結果

■被害に遭わないためには

このようなネット上の危険へ誘導しようとする手口に関しては、その手口を知り騙されないようにすることが対策の1つとなります。有名企業の偽装や自身の不正サイトの検索順位を上げる「SEOポイズニング」などの手法により、「正規」の中に「不正」を混在させて騙す攻撃は後を絶ちません。Web検索の結果であっても不審なサイトが混在する可能性を認識し、移動先のサイトがその企業の正規URLかどうかを確認してください。

■トレンドマイクロの対策

様々なネット詐欺に関連する不正サイトは「Webレピュテーション(WRS)」技術でアクセスをブロックしています。「ウイルスバスター™ クラウド」、「ウイルスバスター™ コーポレートエディション XG」、「ウイルスバスター™ ビジネスセキュリティ」などのエンドポイントセキュリティ対策製品や、「ウイルスバスター™ モバイル」、「Trend Micro Mobile Security™」などのモバイル端末向け製品では、WRS技術により不正サイトへのアクセスをブロックできます。特に法人利用者の場合、「InterScan Web Security™ Virtual Appliance」、「Cloud Edge™」などのゲートウェイ製品によって、LAN内全体からの不正サイトへのアクセスを一括してブロックすることができます。

参考記事:

翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)