サポート詐欺の仕組みを調査したら意外に多くの技術が総動員されていた(2023年5月1日)のその後に変化があったので、追加の記事です。
広告経由で中継する転送用のWebサイト(ドメイン)に改ざんしたブログを利用していることが分かりました。最近はブログの脆弱性を探索するアクセスが急増しています。
■サポート詐欺の流れと見つかりにくくする手口の考察
1.ブログソフトウェアのWordPressの脆弱性を利用してWebコンテンツを改ざんします。
元の言語(主に英語)でアクセスした場合には本来のコンテンツは正常に表示されたままにしてあります。広告審査、ブログ運営者や検査ツール(URLスキャナー)で改ざんを発見されないようにするためのようです。
↓
2.Google 広告(Ads)に広告を出稿して改ざんしたブログへ集客します。
機械的に行われる広告審査ではおそらく英語でブログをチェックしているので通過できているのでしょう。広告内容と集客先のWebコンテンツに関連性がないことは明らかなので人の目視チェックはしていないと思います。
↓
3.日本語限定で詐欺サイトへ誘導します。
ブラウザの言語で日本語の利用者をターゲットに詐欺サイトへ誘導しています。
↓
4.詐欺サイトはマイクロソフトAzure(windows.netドメイン)に構築、ブラウザに偽のセキュリティ警告を出力するWebページが配置されています。
検査ツールを回避するようなURLを使っている、警告を出力するHTMLコードは検査用の仮想マシンでは無害にふるまうように作成されているようです。
↓
5.アクセス元のブラウザには警告表示と警告音が鳴ります。
脆弱性のある古いバージョンのブラウザだと、ブラウザを閉じても次に開いたときに全画面でサポート詐欺の表示がされるかもしれません。設置されていたコードはしばらく同一だったのですが、NHKの報道後に更新されていたので詳細な挙動は未確認です。
↓
6.アクセスした人が自己解決しようと電話を掛けます。
↓
7.電話口で指示に従って、犯人にPCが乗っ取られます。
電子マネーなどを購入させられ、電子マネーのコード番号を奪われます。
PCは犯人に乗っ取られたままになっています。騙された本人はサポート料金だと思っているので他人に相談しないので犯行がなかなか露見せず、今後も騙されて被害額が増えることが予想されます。
注意ポイント:
アクセス先のドメインを確認しても引っ掛かります。
広告が表示されているのは普通のWebサイトです。広告からアクセスするWebも普通のブログです。Webサイトやブログの名称やURLをチェックしても不正なサイトとしての情報を見つけることができません。ブラウザの不正サイトアクセスブロック(ブラックリストに載る)頃には別の広告とブログが詐欺に使われています。数時間から数日でサポート詐欺の広告、中継先、偽警告のページは使われなくなっています。
かけ先の電話番号を確かめるような知識や慎重さがあっても詐欺に引っ掛かります。
表示するサポート詐欺のページは表示する電話番号部分などをパラメーター化してあって、電話番号が詐欺が行われているとして公になって、通信事業者によって電話番号が凍結されても別の番号で詐欺は続けられています。こうしたことが容易に行われていること背景には安価に本人確認がいらない取得しやすいIP電話が支えています。IP電話から足がつくこともないので世界中から日本が狙われています。
対策として望むこと:
政府や自治体も高齢者福祉の一環として長寿デジタル社会を見据えて判断力が低下した高齢者を守る社会的な仕組みが必要だと思います。現状を変えるにはまずは政府が事業者へ対策を促すことが必要です。マイクロソフトがWindowsやOfficeの一般ユーザー向けのサポートを提供していないことに遠因があり、PCメーカーもブラウザの閲覧内容まではサポートしていないといった隙が狙われています。
それぞれの事業者に向けてアイデアを書いておきます。
・サポート窓口の設置[マイクロソフト、PCメーカー各社]
・各社で基金を作って共同でサポート窓口を設置する
ハードウェア、ソフトウェアそれぞれのサポートの隙を塞ぐ
・注意を喚起する
・広告利用の厳格化[Google、広告ネットワーク事業者]
・広告契約時の法人の与信、本人確認、アカウント審査をする
・広告内容の審査の検査パターンを増やす(例:複数の言語での確認)
・無料広告チケットの廃止(○ドル分の広告が無料のようなキャンペーンをやめる)
・IP電話利用の厳格化[IP電話事業者]
・本人確認を実施する
・日本国外からの利用を禁止する(海外接続の禁止)
・利用時の位置情報の長期間の保存、捜査機関への提供
・シニア向け電話サービス[通信会社]
・あらかじめ登録した電話番号と、公的機関以外にかけられなくする
・IP電話などへ掛けられなくする
・緊急事態の相談電話窓口を設置する
・すべての通話を記録、録音する(忘れ防止)
・電子マネーの安全性を高める[コンビニチェーン本部、ネットサービス事業者]
・販売に年齢制限を付ける (18歳以上60歳未満限定で販売するなど)
・電子マネーのアカウント登録時に本人確認を必須にする
・電子マネーを追跡できるようにする(ブロックチェーン技術)
・ソフトウェアの脆弱性対策する[クラウド事業者]
・Webホスティングサービスで改ざんを検知し、運営者へ通知する
・WordPressサービスの脆弱性を塞ぐ
古いバージョンのwpやwpプラグインは脆弱性対策済のバージョンへ更新する
・Azureコンテンツの検査[マイクロソフト]
・犯罪目的の使用を禁止し、コンテンツを検査する
・検査済みのコンテンツのみをWeb公開できるようにする
・各国の捜査機関と連携する
・検査用のマシンのチューニングをする
・ウイルス対策、セキュリティ対策ソフト[各ベンダー]
・サポート詐欺対策の強化をする
・検査用のマシンのチューニングをする
・高齢者向けのサービスを提供する(緊急事態の相談電話窓口など)