日本各地で急増中、
「サポート詐欺」報告!
PCに突然現れる
ニセ警告に要注意

日本各地で急増中、「サポート詐欺」確認報告!PCに突然現れる ニセ警告に要注意


サポート詐欺
PC画面に「ウイルス感染」 偽の警告…急増

パソコンがウイルスに感染したとの偽の警告をモニター画面に表示させ、サポート名目で金銭をだまし取ろうとする「サポート詐欺」が今夏以降、国内で急増している。手口が巧妙化しており、セキュリティー会社は注意を呼びかけている。(中略) 代表的な手口は、インターネットを利用中に突然、「あなたのコンピュータでウイルスが見つかりました」などの警告表示がモニター上に出現。日本語の音声で「あなたの個人情報、写真、クレジットカード情報が危険にさらされている」と警告したり、警告音を発したりするケースもある。次に、「ウイルス除去」をうたうサイトが勝手に表示される。

(2016年11月14日 毎日新聞 電子版)より抜粋


関係各所で相次ぐマルウェアウイルスの注意喚起

情報セキュリティー大手・トレンドマイクロによると、海外では2012年ごろから「サポート詐欺」が確認され、日本でも昨年から徐々に増えていた。

これまで日本でのランサムウェアの拡散は主に英語メールによるものであり、世界的なばらまき型のマルウェアスパムが流入しているものとみられていた。しかし今回と同様の手口の日本語マルウェアスパムを 10月以降繰り返し確認しており、ランサムウェアを使用するサイバー犯罪者が新たに日本を標的とし始めたこと示すひとつの兆候であるものと考えられる。

同社への国内の顧客からの問い合わせは、今年前半は月数十件だったが、8月に116件、9月には371件に増えた。10月も前半だけで180件に上る。実際に金銭をだまし取られたケースも数件あった。

[関係各所から発令されたマルウェアウイルスの注意喚起]
●総務省「NTTコミュニケーションズ株式会社」名で発信されたコンピューターウィルス感染に係る注意喚起及び除去ツールの配布に関する不審なメールにご注意ください
http://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000252.html
●NTTコミュニケーションズからの注意喚起
http://www.ntt.com/about-us/information/info_20161114.html
●JPCERT「Webサイト改ざんに関する注意喚起」
https://www.jpcert.or.jp/at/2016/at160047.html
●@Police 「Web サイト改ざんに関する注意喚起について (PDF)」
https://www.npa.go.jp/cyberpolice/detect/pdf/20161114.pdf

トレンドマイクロへの「詐欺ウイルス」の問い合わせの推移

トレンドマイクロへの「詐欺ウイルス」の問い合わせの推移
※10月の赤字部分は予想

トレンドマイクロへの「詐欺ウイルス」の問い合わせの推移

トレンドマイクロへの「詐欺ウイルス」の問い合わせの推移
※10月の赤字部分は予想

実例でみる「サポート詐欺」の実態1
「マルウェアへの感染者に対する注意喚起」を偽装

今回トレンドマイクロが公表したのは、「マルウェア除去ツール」を偽造するランサムウェア。 「【重要】総務省共同プロジェクト コンピューターウィルスの感染者に対する注意喚起及び除去ツールの配布について」という件名と本文で利用者をだまし、「マルウェア除去ツール」に偽装したランサムウェアをダウンロードさせ、感染させようとするもの。

メールをよく調べると、送信元は海外のフリーメールである「SIGAINT」であることがわかり、送信者が追跡の困難化を狙って使用しているものと思われる。
メール本文は受信者が「オンライン銀行詐欺ツールである「VAWTRAK」に感染しているため、その「除去ツール」を配布する」という旨の内容。ZIPファイルが添付されており、解凍すると2つのPDFファイルが出てくる。

マルウェアスパムの添付PDFファイルの例1

マルウェアスパムの添付PDFファイルの例1

マルウェアスパムの添付PDFファイルの例1

マルウェアスパムの添付PDFファイルの例1

PDFの1つには「除去ツール」の「設定手順」が書かれている。それによると「除去ツール」を実行する準備として、すべてのアプリの終了とセキュリティソフトの機能オフを受信者に行わせるが、これはセキュリティソフトによる検出を免れるためのサイバー犯罪者の用心によるもの。この手順では Windows標準のセキュリティソフトである「Windows Defender」もオフにさせるが、本文では

PDFファイルの内容例2( 「Windows Defender」が「Difender」とミスタイプされている

PDFファイルの内容例2( 「Windows Defender」が「Difender」とミスタイプされている

PDFファイルの内容例2( 「Windows Defender」が「Difender」とミスタイプされている

PDFファイルの内容例2( 「Windows Defender」が「Difender」とミスタイプされている

「除去ツール」自体はメールには添付されておらず、海外のクラウドストレージサービスである「MEGA」からダウンロードする。この「除去ツール」は、同社の製品が検出するランサムウェアの一種。

■10月から確認されているマルウェアスパムの類似手口

1 日本語メールである
2 メール送信元が匿名フリーサービス「SIGANT」
3 ランサムウェアはメールに直接添付せず、クラウドストレージの「MEGA」からダウンロードさせる

実例でみる「サポート詐欺」の実態2
不安をあおって電話でだます

他にもトレンドマイクロ セキュリティブログ(10月31日の記事より)では、ブラウザ上で「ウイルス感染」や「システムの不調」を示す表示で利用者の不安をあおり、画面上に表示されているサポート電話に問い合わせをさせるケースが紹介されており、2016年を通じて増加傾向にあると報告されている。

「ウイルス除去」の名目で「マイクロソフトソフトウェアエキスパート」の問い合わせに誘導

「ウイルス除去」の名目で「マイクロソフトソフトウェアエキスパート」の問い合わせに誘導

「ウイルス除去」の名目で「マイクロソフトソフトウェアエキスパート」の問い合わせに誘導

「ウイルス除去」の名目で「マイクロソフトソフトウェアエキスパート」の問い合わせに誘導

当ケースは、サイト上に突然ウイルス感染やシステムの異常などを示す表示を行い、誘導されたインターネット利用者の不安をあおる。
事例では日本語音声でウイルス感染を警告するし、アラーム音とともに日本語音声で「あなたの個人情報、写真、クレジットカード情報が危険にさらされている」と警告したり、警告音を発したりするケースもある。次に、「ウイルス除去」をうたうサイトが勝手に表示される。

サイトには電話番号が記載されており、同社が実際に電話したところ、日本語を話す女性のオペレーターが対応に出て、サポートのため遠隔操作を可能とするソフトをインストールするよう要求。「遠隔操作でパソコンのウイルスを調査する」と言い、ファイルを開くなど調査しているふりをした。
その後、実際には感染していないウイルスを取り除くために2万~4万円程度のサポート契約を結ぶよう要求された。

「有償サポートプラン」の購入画面例

「有償サポートプラン」の購入画面例

「有償サポートプラン」の購入画面例

「有償サポートプラン」の購入画面例

ここまでの経緯から考えても、この「有償サポート契約」は実態を伴わない「詐欺」であると確認した。

警告が表示された段階では、何も感染していないので、操作に全く支障が出ない。だが遠隔操作を受け入れてしまうと、パソコンが乗っ取られたも同然となる。

もしもサポート詐欺に情報を提供してしまったら…
Microsoftセーフティとセキュリティセンターを参照
詳細はこちら>>

怪しきは対応せずが最良の解決策

今回のマルウェアスパムは、対応しなければ被害が広がることはない。
しかし共通点の多いマルウェアスパムが増えているということは、同じサイバー犯罪者が日本を狙った攻撃を繰り返していることが推測される。現在はまだ攻撃手法を試行錯誤している段階とも考えられ、今後より大規模な攻撃が発生することも予想される。

「不審なサイトへアクセスしなければ大丈夫」という考えは既に過去のもの。いつも見ているサイト上での表示や、友人からのメッセージであったとしても、誘導先サイトの正当性に気をつけなければいけない。
特に短縮URLはアクセス先のサイトが一見してわからないため、さらなる注意が必要。また、モバイル端末では画面範囲の制約などからアクセス中の URL が確認しづらいことが多いため、細心の注意が求められる。

不審なサポート警告が出たら

ソフトウェアやサービスは購入しない
「サービス」に関連する料金や登録が発生するかどうかを確認し、発生する場合は対応しない
第三者にはコンピューターのアクセス情報を提供しない
不審なサポートサービスには対応しない

( JPCERT:注意喚起「サイバー攻撃に備えてWebサイトの定期的な点検を」より引用)詳細はこちら>>