「Webブラウザのプッシュ通知」機能は、ユーザから許可された特定のWebサイトが、購読者のブラウザに通知を送信できるようにする機能です。例として、Chromeは2015年にブラウザ通知機能を導入しました。この機能により、ユーザから許可を受けたWebサイトは、新たなコンテンツや記事の公開を購読者に通知できるようになりました。
しかし、悪意ある広告事業者やサイバー犯罪者は、常に便利な正規機能の悪用を狙っています。彼らはクリック詐欺の特殊な事例としてブラウザ通知機能を悪用し始めました。トレンドマイクロでは、ブラウザ通知機能を悪用したスパムメッセージ行為が2021年2月下旬頃から世界的に増加していることを確認しました。さらに調査を進めると、ブラウザ通知機能を悪用する興味深い手口を発見しました。この手口により表示されるポップアップは、悪意のあるサイトではなく、正規セキュリティソフトウェアのWebサイトにユーザを誘導することが明らかとなりました。
サイトに誘導されたユーザのトラフィック(全世界)-1024x745.png)
ブラウザ通知機能の悪用は、ユーザの信頼を損なうことにつながります。悪意のある広告事業者は、広告収入を得るためにクリック数を稼ぐ手段としてブラウザ通知機能を悪用するほか、恐怖や誤解を招くような通知を用いて、ユーザにブラウザ通知を許可するよう説得を試みます。
■ ブラウザ通知スパムへの誘導手口
2021年3月上旬、複数のユーザから「主にChromeまたはEdgeのブラウザを利用してインターネットを閲覧していると、迷惑なポップアップが表示される」といった報告がトレンドマイクロに寄せられました。トレンドマイクロによる最初の調査では、これらのポップアップの多くは、ブラウザへのプッシュ通知を許可させるために構築されたWebサイトから発生していることがわかりました。
読み込みを続行するには、ユーザがポップアップ上で「許可(Allow)」を
クリックする必要がある、という表示で利用者を誤解させ、許可させる手口
これらのブラウザ通知は、ChromeまたはEdgeを利用しているときによく見られるもので、ユーザによっては、これらの通知がポップアップされたときに疑うことなく「許可」をクリックする方もいらっしゃるかもしれません。
ユーザは、さまざまな誘導ページを経由してブラウザ通知スパム(BNS)サイトへと誘導されます。これらの誘導ページのほとんどは、ブラウザ通知スパムサイトへと誘導するために特別に作成されたものと見られています。トレンドマイクロは合計で80以上のブラウザ通知スパムサイトへと誘導する3,500以上のドメインを確認しました。弊社はIPレンジおよび登録情報に基づき、同一人物またはグループが、今回のスパムキャンペーンで使用された誘導ページのほとんどを作成したと推測しています。
今回確認された3,500以上の誘導ページは、ユーザの関心事を幅広く網羅しています。アダルトコンテンツのWebサイトが大半を占めていますが、スポーツ配信、動画配信、メディア共有、DIYに関するブログなども数多く発見されました。これらの誘導ページの中にはローカライズされたものもあり、インドネシア語(Bahasa)、中国語(Chinese)、日本語(Japanese)など、さまざまな言語の誘導ページが確認されました。中には、日本語で記載された違法漫画サイトの誘導ページもありました。この攻撃活動の背後にいるグループは、ただ漫然とWebページを構築しているのではなく、特定の国の人々がどのようなコンテンツを探し求めているのかを実際に認識していることがうかがえます。
これらの誘導ページは、ブラウザ通知スパムを助長するだけでなく、Webページ上のコンテンツとして著作物が違法に使用されています。日本では、著作権で保護された漫画の不正利用に対する厳しい取り締まりが行われています。
■ ユーザの位置情報に応じて表示される広告
この攻撃活動の背後にいるサイバー犯罪者グループの主な目的は、ユーザのトラフィックを最終的に広告サイトへと誘導することです。広告に使用されるテキストや画像は、ユーザのIPアドレスに基づいてローカライズされます。北米から閲覧しているユーザには、中南米やアジアのユーザ向けとは異なる広告が表示されます。以下に、ブラジルおよび日本のユーザ向けにローカライズされた広告の3つの例を示します。
ユーザがこれらのポップアップ上に表示される更新オプションをクリックすると、McAfeeあるいはNorton 360の公式オンラインショップへと誘導されます。
これらのポップアップを悪用したスパムが、ユーザに正規セキュリティソフトウェアを購入させるための広告を表示するというのは、弊社にとって意外なことでした。これは、委託を受けたアフィリエイターが、より多くのユーザを誘導して自身のWebサイトにアクセスさせることで、セキュリティベンダからより多くの収入を得ようと試みる、非常に特殊な手口であると考えられます。
米国から閲覧しているユーザの場合、表示された広告のほとんどはNortonまたはMcAfeeのものですが、トレンドマイクロでは、ショッピングクーポン紹介サイト「Honey」向けブラウザ拡張子の広告への誘導も確認しました。
米国外から閲覧しているユーザは、より多様な広告の標的となりました。正規セキュリティソフトウェアの広告が依然として大半を占めていますが、オンラインデートや性機能向上を謳う薬の広告も表示されました。
■ 今回の攻撃活動で用いられた感染チェーン
今回の攻撃活動で用いられた感染チェーンを図10にまとめました。
図10は、誘導ページからブラウザ通知スパムサイト、そして最終的に表示される広告までの誘導手口の全体の流れを示しています。ほとんどのドメインがここ数ヶ月の間に登録されたものであることから、これらの広告は今回確認されたスパムキャンペーンのために特別に作成されたものであると考えられます。
■ 被害に遭わないためには
既にブラウザ通知スパムを許諾してしまい、不正な通知が表示されてしまう場合には以下の方法でプッシュ通知を無効化してください。
トレンドマイクロヘルプセンター「ブラウザの不審な通知を無効にする方法」
https://helpcenter.trendmicro.com/ja-jp/article/TMKA-10274
ブラウザ通知スパムの手口は現在も継続していることから、トレンドマイクロはMcAfeeおよびNortonに各々の広告が不正に利用されている可能性があることを通知しました。Googleもまたブラウザ通知機能の悪用を取り締まっており、特に「ユーザを誤解させたり、個人情報を詐取、またはマルウェアを宣伝広告」するような通知を停止させる対策に取り組んでいます。
被害者が誘導されたことに気付かずに、本記事で解説したような誘導プロセスを実行する可能性は十分にあります。今回の誘導手口は、ユーザが実際にMcAfeeまたはNorton 360のライセンスを失効させていた場合には特に有効と考えられます。ユーザは、以下の推奨事項に準拠することで、ブラウザ通知スパム攻撃を回避することができます。
- 信頼できないWebサイトへのアクセスは避けること。代わりにユーザは、信頼できるWebサイトから自身の興味と一致した動画配信コンテンツやトピックを見つけるようにすることで、ブラウザ通知スパムの被害に遭うリスクを最小限に抑える必要があります。利用するWebサイトの安全性を確認したい場合は、弊社の「Site Safety Center」を利用いただくことも有効な手段です
- ブラウザ通知を受け入れることに注意すること。ユーザがブラウザ通知を許可していない場合、ブラウザ通知スパムや類似したスパムは通知をプッシュすることができません。Googleは、Chromeでブラウザ通知をブロックするためのチュートリアルを共有しています
- ポップアップをブロックして、この種のブラウザ誘導を制限すること。興味のあるポップアップが表示された場合は、直接広告をクリックするのではなく、対象の正規サイトを自身で検索し直しましょう。Googleは、Chromeでポップアップをブロックするためのチュートリアルを共有しています
■ トレンドマイクロの対策
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network」(SPN)から提供されるさまざまな技術によって守られています。不正サイトへの対策は、SPNから提供される「Webレピュテーション」技術により不正な Web サイトへのアクセスをブロックします。マルウェア対策は、SPNから提供される「ファイルレピュテーション」技術によるウイルス検出、機械学習型検出や挙動監視機能(不正変更監視機能)の組み合わせによる多層防御が可能です。
これらの技術は個人向けのエンドポイント製品「ウイルスバスタークラウド™」、法人向けのエンドポイント製品「Trend Micro Apex One™」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ビジネスセキュリティサービス」などで提供されています。
■ 侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちらを参照してください。
参考記事:
- 「Browser Notification Spam Tricks Clicks for Ad Revenue」
by Erin Sindelar
記事構成:岡本 勝之(セキュリティエバンジェリスト)
高橋 哲朗(スレットマーケティンググループ)
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)
