フィッシング
Webを見ていたら突然の「システム破損」「ウイルス感染」表示、再び活発化した偽警告
Web閲覧時に「セキュリティシステムが破損しています」や「システムがウイルスに感染しています」などのメッセージが突然表示され、驚いたことがある方は多いのではないでしょうか。これらは「偽警告」、英語では「Fake Alert」や「Fake Warning」と呼ばれ、利用者の不安をあおって誘導するサイバー犯罪者の常套手段です。
Web閲覧時に「セキュリティシステムが破損しています」や「システムがウイルスに感染しています」などのメッセージが突然表示され、驚いたことがある方は多いのではないでしょうか。これらは「偽警告」、英語では「Fake Alert」や「Fake Warning」と呼ばれ、利用者の不安をあおって誘導するサイバー犯罪者の常套手段です。本ブログでも2017年11月の記事など、何度も注意を呼び掛けている攻撃手法となります。
図1:トレンドマイクロが1月に確認した偽警告の表示例
偽警告の攻撃は以前から繰り返し継続して行われているものですが、日本国内においては昨年2018年以降に再び活発化してきています。トレンドマイクロへの偽警告関連の問い合わせ件数は2018年を通じて増加し、年末には12月の一か月だけで2226件に達しました。
図2:トレンドマイクロが国内で受けた偽警告に関する問い合わせ件数の推移
この2年間で最多となった2018年12月の問い合わせ件数を日別の推移で見てみると、特に12月21日以降の連休、クリスマスの時期に急増していることがわかります。
図3:2018年12月における、偽警告に関する問い合わせ件数の日別推移
この年末に向けて一層活発化した勢いは、年が変り1月に入っても衰えることなく継続しており、注意が必要です。 活発化が続く偽警告の攻撃ですが、このような人間をだまして危険に誘導する手口に対しては、その手口を知ることが対策のために重要です。本記事では、この12月以降にPCやスマートフォンなどでのWeb閲覧時に突然表示される偽警告の実例を紹介します。
図4:トレンドマイクロが1月に確認した偽警告の表示例
上図は2019年1月に入ってトレンドマイクロが確認したWeb上の偽警告の例です。この例では正規Webサイトを閲覧中に突然別のタブが開かれ「Windowsセキュリティシステムが破損しています」という偽のシステム警告が表示されました。利用者が表示上の「更新」をクリックすると「Windowsドライバを更新していません」というメッセージの後、また別のタブが開かれシステムのウイルス感染を示す内容が表示されます。当然ながらこれらWeb上での警告は「偽」であり、システムの破損やウイルス感染などの不安をあおる文言により利用者を誘導しようとするものです。これらの偽警告から、利用者はシステム破損やウイルス感染を解決すると称するソフトウェアのダウンロードと実行を促されます。
図5:偽警告からソフトウェアのダウンロードと実行を促す表示の例
これらは一般に「PUA(Potentially Unwanted Application)」と呼ばれるアプリケーションの中でも「迷惑ソフト」と位置付けられるている類のものです。実行後にはシステムのエラーやウイルス感染を検出した旨の警告メッセージを表示します。以前の「Fake AV(偽セキュリティソフト)」と呼ばれるマルウェアは、実際には有効なスキャンは行わずにこのようなメッセージを表示するものでした。この場合の警告メッセージはまったくの虚偽であり、利用者をだますための不正な活動と断定できるものでした。しかし、現在では実際に不要なクッキーやインターネットキャッシュ、レジストリ内の不要なエントリの存在をスキャンするなど、いわゆる「パフォーマンス向上ツール」と呼ばれるようなソフトウェアが行う動作を行った上で検出メッセージを出すものが多くなっています。この場合、なんらかの検索結果から警告メッセージを出していることは確かなため必ずしも不正と断定できず、グレーウェア、迷惑ソフトとして扱われることになります。
図6:偽警告からダウンロードされた迷惑ソフトの実行例
図7:迷惑ソフトの実行後に誘導される製品版の購入を促すWebサイトの表示例
いずれにせよ、システムエラーやウイルス感染のメッセージから、利用者は修復や駆除のためと称して製品版の購入を勧めるWebサイトへ誘導されます。この検証例からは、偽警告を仕掛けているサイバー犯罪者は、最終的に表示される迷惑ソフトの販売自体、もしくは販売のアフィリエイトにより金銭利益を得ている可能性が高いものと考えられます。 このようなWeb上の偽警告の表示内容には様々な種類があります。以下は2018年12月以降にトレンドマイクロが確認した他の偽警告の表示例です。これらの例はすべて最終的に迷惑ソフトの販売サイトへ利用者を誘導するものでしたが、以前には「サポート詐欺」など別の攻撃に誘導するものも確認しています。
図8:2018年12月以降に確認している偽警告画面の例
また、PCではなくスマートフォンでアクセスした場合には、スマートフォン向けの偽警告が表示されます。スマートフォンでアクセスした場合の流れは本ブログ2017年11月の記事にて詳しく扱っていますが、今回の調査では依然として当時と同様の偽警告が存在していることが確認できました。
図9:2018年12月にトレンドマイクロが確認したスマートフォンからアクセスした場合の偽警告画面例
このような「偽警告」はWeb上で表示されるネット広告を経由して利用者の元に表示されるものと考えられます。いわゆる「怪しいサイト」を踏んでしまった場合のみならず、正規サイトの閲覧時にも遭遇する場合があるのはそのためです。現在のネット広告は時間帯やアクセス者によって最適と判断される広告を表示する仕組みが多く採用されており、同一サイトであってもアクセス者によって異なる広告が表示される可能性があります。このようなネット広告の仕組みは、偽警告の攻撃を仕掛けるサイバー犯罪者にとっても、追跡を免れるために都合の良い仕組みとなってしまっています。同時にこのような不正広告のコンテンツが正規クラウドサービス上にホストされていることも多くなっており、偽警告の表示を一様に排除するような対応は困難なものとなっています。
■被害に遭わないためには
このようなネット上の危険へ誘導しようとする手口に関しては、その手口を知り騙されないようにすることが対策の1つとなります。「偽警告」は単なるWebサイト上の表示であり、表示されただけでは直接的な危険はありません。表示を無視してブラウザを終了させることが一番の対処法となります。
■トレンドマイクロの対策
トレンドマイクロ製品ではこのような偽警告の表示を行うWebコンテンツに対し、「ブラウザ脆弱性対策機能」により利用者の保護を行っています。「ブラウザ脆弱性対策機能」は個人向け総合セキュリティ対策製品「ウイルスバスタークラウド」などエンドポイント製品で利用可能です。 本記事内で言及した迷惑ソフトに対しては「PUA.Win32.PCSpeedUp.A」などの「PUA」で始まる検出名で順次検出対応しています。 ※調査協力:中谷 吉宏、サイバースレットリサーチチーム(Trend Micro Research)、百﨑 太郎(トレンドマイクロサポートセンター) ※本記事内の画像について、画像内に危険や権利侵害などに繋がる部分がある場合には修正を施しています