サポート詐欺新手口 ～ 正規ツールを悪用し PC を操作不能に

　トレンドマイクロ株式会社は10月17日、正規ツールを悪用しPCを操作不能にさせるサポート詐欺の新手口の解説記事を発表した。同社 セキュリティエバンジェリストの岡本勝之氏とスタッフスレットリサーチャーの河田芳希氏が執筆している。

　同社では、サポート詐欺の新手口と推測される事例を把握し調査を進めていたが、被害者が不審なサイトからダウンロードした実行可能ファイル（exeファイル）を実行してしまったことを起点に、一般の遠隔操作ツールである「ScreenConnect」がインストールされ遠隔操作が行われること、その遠隔操作で同じく一般のツールである「Lock My PC」が悪用されてデスクトップ操作がロックされPCが操作不能となる事象の発生を確認したという。

　同社のクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network（SPN）」による調査の結果、2024年8月以降で「Lock My PC」が「ScreenConnect」による遠隔操作でインストールされた可能性があるケースを数十件確認している。また、9月15日から10月15日の30日間に、事象の発生原因となるexeファイルのダウンロードURLに日本国内から約15万件のアクセスがあることを確認しており、この手口が継続していると推測している。

　同社で調査の結果、サイトからダウンロードしたexeファイル（ScreenConnectインストーラ）の実行後に、ScreenConnectによる遠隔操作で、結果的に操作不能の偽メッセージの警告画面が表示される事象の発生を確認している。

　同社によると、いずれのケースでも最初のexeファイル実行時点では遠隔操作ツールである「ScreenConnect」がインストールされるのみだが、同exeファイルは管理者権限で実行するだけで外部からの遠隔操作が可能になるようにビルドされており、自動的に遠隔操作を待ち受ける状態となる。調査の中では、最初のexeファイル実行後からScreenConnectの接続が開始され、最短でおよそ10分、最長で3時間以上経過の後に遠隔操作が始まった事例を確認している。

　「ScreenConnect」を経由した遠隔操作では、共通して下記の操作が行われ、結果としてPCにログインした際には操作不能の偽メッセージの警告画面が表示され、画面ロックにより操作がほぼできない状態となったとのこと。

・一般のツールである「Lock My PC」がインストールされる
・C:\Windowsフォルダに複数のファイルが作成される
・操作を妨害する複数のプログラムがスタートアップに配置される
・システムが再起動される

　同社で、操作不能メッセージおよび画面のロックが発生した際に表示されていた電話番号に架電した結果、下記の対応を確認している。

・マイクロソフトを騙る、片言の日本語を話す人物が電話口に出る
・セキュリティの問題が発生しており、クレジットカード情報やネットバンクの情報が安全でない状態であるという旨を告げられる
・状態解消のため、Escキーの長押し、Windowsキー+Rキー　の入力を促される

　同社では上記対応について、従来のWebブラウザに偽のウイルス感染警告画面を表示する手口を想定したサポート詐欺の対応であると考えられ、電話口の人物に画面ロックの状態について説明しても、理解できない様子が見られたが、明らかにサポート詐欺手口に見られる特徴があったとのこと。

　同社では、新手口は従来からのサポート詐欺グループと関連があることが推測できるとともに、操作不能メッセージを表示する目的は、問題の解消を名目に不正に金銭を要求するものであるとしている。