サポート詐欺を“疑似体験”してみよう IPAが作ったWebサイトの再現度が高すぎる：半径300メートルのIT

最近非常に手口が巧妙化している“サポート詐欺”。これを疑似体験できるWebサイトをIPAが公開しました。その手口を知ることでこうしたフィッシングに冷静に対処していきましょう。

[宮田健，ITmedia]

　私たちにとって最も身近なサイバー脅威はやはりフィッシングだと思います。フィッシングといえば偽のサービス画面に入力されたID／パスワードを盗むといった手法が思い浮かぶかもしれません。

　しかし最近では、Webブラウザに偽のセキュリティ警告が表示され、電話やチャットを通じて言葉巧みに、被害者自身がマルウェアをインストールするように誘導する「サポート詐欺」が問題になっています。「こんなものには引っ掛からない自信がある」という方も多いかもしれませんが、家族や親戚を含めて考えると、これはやはりPCを使う上での最大の脅威といえるかもしれません。

　フィッシングのような人をだます攻撃は日々進化しています。サポート詐欺という言葉を知っていても偽の警告画面を見たことがなければ、いざというときに対処できないかもしれません。詐欺については、その手口を事前に知っておくことこそが対策となります。その一助となるようなコンテンツが、情報処理推進機構（IPA）から公開されました。

サポート詐欺を疑似体験してみよう

　IPAは2023年12月19日、「偽セキュリティ警告（サポート詐欺）対策特集ページ」を公開しました。ここではサポート詐欺を疑似体験できる仕組みが用意されています。これを表示するとPC画面がいきなり変化し、音声によるアラートや小さな画面がたくさん表示され、何も操作できないという状態に陥ります。大変よくできており、確かに何もせずにこれが表示されたら、壊れたのではないかと不安になる人も多いと思います。説明をよく読み、皆さんもぜひ一度体験してみてください。

偽のセキュリティ警告はユーザーを焦らせる仕掛けと、マルウェアインストールへと誘導する細かな工夫が凝らされている（出典：IPAのWebサイト）

　こうした手口を事前に知っておくことは非常に重要です。この画面は恐らく、通常のWebサイトを見ている途中で急に切り替わる上に、これまで見ていたWebブラウザのウィンドウではなく、全画面表示となるためPCそのものが発するアラートに見えるだけでなく、閉じるためのボタンが表示されない、もしくはボタンがあっても動かないことも、焦ってしまう要因となっています。サイバー攻撃者は被害者をそのような心理状態に追い込むことを狙って画面を作っている、と考えるべきでしょう。

　そこに出口となる「チャット」や、有名企業を装った「フリーダイヤル」があれば、それこそが“助け船”だと認識してしまうでしょう。冷静な状態でこの攻撃を見ると、本当に良くできているなと感じます。

　その意味で、IPAが公開した疑似体験用のWebサイトは非常によくできており、これを事前に体験できれば、被害が減る可能性があるでしょう。皆さんも一度体験してみて、その内容をぜひご家族にもお話しいただければと思います。

よく見る広告も、実はサポート詐欺の入口？

　そもそもサポート詐欺の画面はどういった経路で表示されるのでしょうか。多くの場合、何らかのWebサイトを閲覧したことをきっかけに、サポート詐欺に関連する表示が出てくるはずです。違法なWebサイトを見ているときではなく、いつも見ているWebサイトを表示しているにもかかわらず、こういった不正なものが入り込んでくるのです。かつてはWebサイトをホスティングしているサーバが攻撃され、不正な書き換えが実行されることが原因でしたが、今ではそのほとんどが、Webサイトに掲載された“広告”がきっかけになっています。

　先日、SEO専門家の辻 正浩氏によるサポート詐欺誘導の広告を集めた記事が大きな話題になっていました。言われてみると、これらの一見意味不明な広告を目にする機会も多くなったなと感じ、根深い問題であることが分かります。

　本来プラットフォーム側にはこのような不正な広告や広告主を排除し、あるべき姿を維持することに注力する責任があります。しかし以前も紹介したように“治安維持”は一筋縄ではいきません。

　セキュリティベンダーのデジタルアーツの調査によると、サポート詐欺を実行している広告主は、プラットフォーム側の審査をすり抜けるよう、審査のタイミングでは問題のないランディングページを表示させ、条件に合ったときだけサポート詐欺を実行するWebサイトへと切り替える仕組みを使っているそうです。

　今のところ根本的な解決方法は難しく、現実的な対策としてはサポート詐欺につながるURLをフィルタリングし続けるという手法を取らざるを得ません。それでもやはり、いつかどこかでサポート詐欺画面に出会ってしまう可能性が高いので、まずは敵の手口を知ることから始めると良いでしょう。

　特にPCに不慣れな高齢者や子どもたちへのケアは大変重要です。最近でもほそぼそと“セクストーション”と呼ばれる、「あなたがポルノサイトを見ているのをWebカメラで撮影している、ついては暗号通貨を……」といった脅迫も続いており、被害に遭ったことが恥ずかしくて相談できないという方も中にはいるかもしれません。その前に、こういった詐欺はあなたがそう思うことを狙って作っていることを教えてあげてください。

　広告を掲載しているWebサイトや閲覧者を守る方法はあるのでしょうか。2024年はそういった難題を解決するテクノロジーが出てくることを祈っています。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。