広告からサポート詐欺へ遷移、手口分析レポート公開 | ScanNetSecurity
2024.04.14(日)

広告からサポート詐欺へ遷移、手口分析レポート公開

 デジタルアーツ株式会社は9月25日、広告から遷移するサポート詐欺の手口を分析したレポートを公開した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
広告からサポート詐欺サイトが表示されるまでの通信
広告からサポート詐欺サイトが表示されるまでの通信 全 1 枚 拡大写真

 デジタルアーツ株式会社は9月25日、広告から遷移するサポート詐欺の手口を分析したレポートを公開した。

 ウイルスに感染したかのような警告や警告音で不安を煽り、虚偽のサポート窓口に電話をかけさせて金銭を騙し取ろうとするサポート詐欺について、IPAによると「ウイルス検出の偽警告」に関する相談件数は年々増加傾向にある。同レポートでは、Webサイト閲覧中にクリックした広告からサポート詐欺サイトに誘導された事例を分析している。

 同社で、表示された広告をクリックした際の通信を確認したところ、広告が直接サポート詐欺サイトに誘導しているのではなく、ランディングページを経由することが明らかになった。

 同レポートで取り上げた事例では、「広告が指定したランディングページを通常どおり表示する場合」と、「広告が指定したランディングページからリダイレクトしてサポート詐欺サイトを表示する場合」の2パターンの挙動が確認され、リダイレクトしてサポート詐欺サイトを表示する場合は、「User-Agentに『Windows』や『mobi』などの特定の文字列が含まれている」かつ「閲覧者が特定のIPアドレスでない」といった特定条件に合致したときのみ、発生することが判明した。

 その一方で、「curl」や「wget」といった文字列が例外であること、プロキシサービスのIPアドレス・VPNサービスのIPアドレスでアクセスした場合はリダイレクトされないことも確認している。アクセスしたタイミングによってはリダイレクトしない場合もあり、時間帯によって挙動しない設定が行われている可能性も考えられるという。

 同レポートで確認した事例で閲覧していたWebサイトは、旅行や乗り物関連の国内サイトで、サポート詐欺サイトに遭遇するのは、外国語などの見慣れないWebサイトに限らないと言え、表示された広告は大手の広告配信サービスを利用していたことから、審査を上手くすり抜けるようなランディングページが作成されていると推測できる。

 同レポートによると、サポート詐欺サイトやそのURLは次々と自動生成され、短期間で使い捨てることでブラックリストによる捕捉を行えないようにするなどの特徴があるとのこと。

 同レポートのランディングページへのアクセスログの集計によると、およそ1ヶ月半で4,000アクセス、800組織がアクセスを行っており、ひとつのランディングページで広範囲に攻撃が届いている実態が明らかになった。

《高橋 潤哉》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  2. マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

    マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

  3. プルーフポイント、マルウェア配布する YouTube チャンネル特定

    プルーフポイント、マルウェア配布する YouTube チャンネル特定

  4. レンズの受注や製造を停止 ~ HOYAグループで不正アクセスに起因する可能性が高いシステム障害

    レンズの受注や製造を停止 ~ HOYAグループで不正アクセスに起因する可能性が高いシステム障害

  5. お茶の水女子大学の研究室サーバに不正アクセス、攻撃の踏み台に

    お茶の水女子大学の研究室サーバに不正アクセス、攻撃の踏み台に

  6. デロイトと JFEスチール、サイバーセキュリティの合弁会社設立

    デロイトと JFEスチール、サイバーセキュリティの合弁会社設立

  7. 悪夢の検証 大英図書館ランサムウェア ~ 過ちが語る普遍的な物語

    悪夢の検証 大英図書館ランサムウェア ~ 過ちが語る普遍的な物語

  8. 北海道信用金庫の職員が業務関係書類を自宅に持ち帰り、定例の内部監査で発覚

    北海道信用金庫の職員が業務関係書類を自宅に持ち帰り、定例の内部監査で発覚

  9. 北九州市立大学の教員のパソコンに遠隔操作、ファイルを閲覧された可能性

    北九州市立大学の教員のパソコンに遠隔操作、ファイルを閲覧された可能性

  10. 日本信用情報機構、第三者に信用情報を開示 ~ 本人確認書類偽造によるなりすまし

    日本信用情報機構、第三者に信用情報を開示 ~ 本人確認書類偽造によるなりすまし

ランキングをもっと見る