「Windows サポートに電話してください」でお馴染みのサポート詐欺の対応策

楽天で商品を調べようと思い、「楽天市場」でググりました。

何も気にせずリスティング広告のリンクをクリックしました。

うわ～、出ましたよ。

久しぶりにまともなルートで踏んでしまいました。このページ自体に脅威が無いのはわかっているのですが、引っかかったことに腹が立ちます。

せっかくなのでこのページを題材にして、サポート詐欺について簡単に説明します。

サポート詐欺とは

サポート詐欺とは、上のスクショのようなページをフルスクリーンで表示して簡単に脱出できない状況にして、直すために電話をかけさせて料金を支払わせるという詐欺です。

IPAが公表している「情報セキュリティ10大脅威 2023」では個人の6位に「偽警告によるインターネット詐欺」がランクインしています。僕の体感ではもっと上位に来てもおかしくないぐらい、被害が多い印象です。

情報セキュリティ10大脅威 2023 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

情報処理推進機構（IPA）の「情報セキュリティ10大脅威 2023」に関する情報です。

www.ipa.go.jp

偽の警告画面の表示

Microsoftおよび、Windows Defenderを騙るページが表示されますが、これは偽の警告画面です。

フルスクリーンになって簡単に閉じることができない上、音声メッセージが延々と流れ続けます。これに焦って正常な判断ができなくなるんだと思います。

この事態を解消するために偽のサポート窓口に電話させようというのが攻撃者の狙いです。

ページを表示しただけでは害は特になし

マルウェア感染を示唆するメッセージが出ていたとしても、このページを開いたことによってマルウェア感染する可能性は低いです。もちろんページに仕込まれている可能性はゼロではありませんが、僕が使っているAppGuardという強力なセキュリティソフトは無反応でした。

あとIPアドレスと地域やプロバイダの情報が出ており、IPアドレスや個人情報を抜かれたと不安になりますが、これはPHPでIPアドレスを画面上に表示するコマンドを実行しているだけです。PHPが動くサーバーで下記のコードを入れるだけで誰でも作れます。

<?php
	$ip = $_SERVER['REMOTE_ADDR'];
	$host = gethostbyaddr($ip);
	echo $ip;	// IPアドレスを表示
	echo $host	// ホストを表示
?>

そしてIPアドレスがわかれば、そこからだいたいのアクセス元の地域とプロバイダは調べられます。これをページ上でどうやって表示しているのかは定かではありませんが、ライブラリを入れればできるっぽいですね。

じゃあIPアドレスを抜かれていないかと言われるとそうではなく、ページの管理者はアクセス者のIPアドレスを確認することが可能です。ただ、IPアドレスを使ってできることは限られており、個人を特定するにはプロバイダに開示請求を行うという法律に基づいた手続きが必要です。

IPアドレスはむやみに公開してよいものではありませんが、IPアドレスだけではたいしたことはできません。IPアドレスで脅されても「ふーん、で？」って思うようにしましょう。

警告画面の消し方

警告画面を消そうにもフルスクリーン状態で閉じるボタンがありません。

最も簡単な方法は、「ESCキーを長押しすることでフルスクリーンを解除してから普通に閉じる」です。めっちゃ簡単ですね。

あと＋αとして、タスクマネージャからブラウザごと終了させる方法も覚えておいた方がいいと思います。

ページを閉じたことをトリガーにして別の動作が行われるということも考えられます。閉じたらさらにページを生成するパターンも今後出てくるかもしれないので、タスクマネージャからのブラウザの終了方法は覚えておいた方がいいです。

IPAが偽の警告画面の閉じ方の方法と、体験サイトを公開しているので、ここで訓練しておくといいでしょう。結構リアルに作られていて良い感じですよ。

偽セキュリティ警告（サポート詐欺）対策特集ページ | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

情報処理推進機構（IPA）の「偽セキュリティ警告（サポート詐欺）対策特集ページ」に関する情報です。

www.ipa.go.jp

もし電話してしまった場合の対応

偽の警告画面は電話をかけさせることが目的です。もし電話をかけてしまった場合に想定される被害は以下の３つです。

• 攻撃者に電話番号が知られる
• 金銭を騙し取られる
• 遠隔操作によりPC内のデータを窃取される

電話番号が知られる

IPアドレスからは電話番号はわかりませんが、こちらからかけてしまうと攻撃者に電話番号が知られてしまいます。

後述する他の被害を免れたとしても、電話をかけてしまうことで騙しやすいカモリストとして電話番号が他の攻撃者に渡ってしまう可能性が考えられます。

メールにしろ電話にしろ、怪しいと思ったものはスルーが鉄則です。興味本位で電話をかけたりするのはやめましょう。

僕の実体験

実はサポート詐欺の攻撃者と電話で話したことがあります。

僕から電話をかけたわけではなく、なんと向こうからかかってきました。晩ごはんの準備をしている最中に。

カタコトの日本語でパソコンを修復がどうのこうの言ってくるのですが、パソコンは目の前に無いし電源すら点いていない。どうやって僕のパソコンがそういう状況だとわかったのか教えろって言ってたら切られました。もし僕のパソコンから情報を抜いてたらお前らがスパイウェアだろって話です。

ちなみにその着信は番号通知で新宿からという表示でしたが、この電話番号も足がつかないようカラクリがされていると思うので深入りはしませんでした。

あと僕の電話番号が漏れているようですね。この間もNTTファイナンスを騙った音声ガイダンスの電話がありましたし。この時は犬の散歩中だったので即切りしましたが、暇だったら出ていたかもしれません。

金銭を騙し取られる

有償サポートということで、パソコンを直したければ数万円の支払いを命じられます。

電子マネーでの支払いが求められますので、ここでコンビニなどに走らされるのでしょう。購入したら改めて電話し直すという流れです。

コンビニで電子マネーを買う段階で店員が詐欺に気付いて未然に防げたというケースがあるようです。この間ネットで見たのでは、電子マネーに「パソコン修理用」みたいな札を貼っている店舗があるそうな。これをレジに持ってきたら高確率で詐欺に遭っているとわかるので、これは良いアイデアですよね。

遠隔操作によりPC内のデータを窃取される

どうやってパソコンを直すかといいますと、サポートが遠隔で操作して対応してくれます。まぁやることはESCキー長押しなんですが。

それだけで済んだらいいのですが、相手に操作する権利を与えるとデータを窃取されたり、マルウェアをインストールされたりといったことが想定されます。

どのように遠隔操作するのかについて調べると、明確な答えは見つかりませんでしたが、IPAが実験した際にはAnyDeskなどのアプリを使用したようです。AnyDeskは僕も仕事でメーカーがアプリのインストール作業を代行するのに使うことでお馴染みでして、このアプリ自体は有用なものですが、悪用もできてしまうという典型ですね。

遠隔操作ソフト（アプリ）を悪用される手口に気をつけて！ | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

情報処理推進機構（IPA）の「遠隔操作ソフト（アプリ）を悪用される手口に気をつけて！」に関する情報です。

www.ipa.go.jp

一度遠隔操作が始まるとこちらの主導権が奪われてしまうので、パソコンを強制終了し、できれば利用しているパスワードの変更やパソコンの初期化を行った方がいいでしょう。

リスティング広告の不正報告

サポート詐欺は僕も仕事中に職員から開いてしまったという報告を何度か受けていて、たいていぬり絵の素材を探している時に踏んでしまったというものです。

ぬり絵は保育現場と介護現場で使われることが多く、それでいて職員のITリテラシーが乏しい可能性が高いということで、うまく罠を張られているなといった印象です。

今回の僕の場合は、リスティング広告を使って本家サイトよりも上位に表示させるパターンでした。広告の悪質な使用方法なので報告してやりましょう。

まずはこの広告を出している奴が他にも出していないかチェック。

なんと200件ぐらい広告を出していました。香港の人がやっているようで、複数言語で出していましたが、日本語が圧倒的に多かったです。

株式投資に関する話題やゲームの広告に化けて罠を仕掛けていたようです。なぜか知らないけど森永卓郎の名前がめっちゃ使われていました。森永卓郎かわいそす。

詐欺/フィッシングということでポリシー違反で報告します。

報告して数時間後には広告が消えていました。さすがGoogle、仕事が早いです。よかったですね。