感染詐欺の最新手口　怪しいボタン押す前、ここを確認

Win10&スマホ　鉄壁セキュリティー:ウェブ編

2021年5月27日 3:00

ネットサーフィン中に突然、「ウイルスに感染しています」とおどろおどろしい警告。リンクをクリックするとショッピングサイトが開き、そこで有料のウイルス対策ソフトを購入した（図1）。これはうその警告で不安をあおり、有料ソフトを購入させる「感染詐欺」の手口だ。ウェブサイトを開いただけでウイルス感染を判定するのは技術的に無理なので、こういう類いのメッセージは無視してかまわない。

図1　ネットサーフィン中にとあるサイトで「ウイルスに感染している」と注意喚起が出たので、慌ててボタンをクリック。有料のウイルス対策ソフトの販売ページが開いたので、そこでソフトを購入してインストールした……。これは偽のウイルス感染警告を表示して偽ソフトなどを購入させる詐欺の手口だ

最近もデスクトップ画面に偽通知を表示して、有料ソフトの販売サイトに誘導する感染詐欺が見つかった（図2）。通知のリンクをクリックするとウェブブラウザーが起動して、販売サイトが開く仕組みだ。セキュリティー企業を装った偽通知が多いようだ（図3）。

図2　デスクトップ画面に「ウイルスに感染しています」などと通知を出す手口が最近は増加中。通知をクリックさせて偽ソフトなどを販売する悪質サイトに誘導するというものだ（1～3）。通知をクリックしたら賞品が当選したと偽り、手続きをしても賞品が届かず、有料サービスに登録させられる手口もある（下）。画像は情報処理推進機構（IPA）の提供

図3　デスクトップ画面に表示される通知にはさまざまなパターンがあり、ウィンドウズからの警告だと偽るケースもある。信じてクリックしてしまうと、図2のような詐欺サイトが開いてしまう。画像は情報処理推進機構（IPA）の提供

感染詐欺の最新手口　ブラウザーの通知機能を悪用

この詐欺はクロームやエッジの通知機能を悪用したもの。通知機能はサイトの新着情報などを閲覧者に伝えるもので、サイトを開いた際に現れるポップアップ画面で「許可」を押すと通知が届く。被害に遭ったユーザーは、悪意のあるサイトを開いてうっかり「許可」を押してしまったと推測される（図4）。

図4　ウェブブラウザーはサイトの新着情報などを受信して、デスクトップ画面で通知する仕組みを備えている。通知を送るサイトはユーザー自身が許可したものだ。悪質なサイトを開き、誤って通知を許可してしまうと図3のようなインチキ通知が出る。画像は情報処理推進機構（IPA）の提供

通知を出さない方法は簡単だ。ブラウザーの設定で、登録されている偽通知を削除する（図5～図7）。通知機能をまったく使っていないなら、すべて削除した後に無効化したほうがよい。

図5　クロームで偽通知をストップさせるには、右上隅のボタンから「設定」→「サイトの設定」→「通知」を開く。「許可」欄でストップさせたいサイトのURLの右側にあるボタンを押して「削除」を選べばよい（1)(2）

図6　普段から通知機能を使っていないなら、図5の画面の上側にある「通知を送信するかどうかの確認をサイトに許可する」をオフにする。これで図4のような通知の許可画面が表示されなくなる

図7　エッジでは設定の「Cookieとサイトのアクセス許可」の「通知」を開き、「許可」欄の「…」をクリックして「削除」を押す(1)（2）。通知機能を使わないなら、「送信前に確認する（推奨）」をオフにする

次に、偽サイトを開いてしまったときの対処法を見ていこう。前パートで取り上げた詐欺メールから開いた場合もこちらを参考にしてほしい。

まずは近年の傾向を知ろう。図8を見てわかるように、偽サイトはアマゾンと楽天市場を模したものが突出して多い。この2つから届いたメールは詐欺の可能性が拭えないので、本文中のリンクからの個人情報入力は絶対に避ける（図9）。警告が気になるなら、通常手順でアマゾンなどにログインしてアカウント情報などを確認すればよい。

図8 2020年1月と2021年1月に見つかったフィッシング詐欺サイトで悪用された企業名、サービス名をまとめた。アマゾンと楽天市場の2つが多く、2021年は前年よりさらに突出してきている。続いてクレジットカード会社が多いという状況だ。グラフはBBソフトサービスのデータを基に作成

図9　偽通知だと気付かずにリンクをクリックして偽サイトが開いてしまうと、サイトのデザインで詐欺だと判断するのは難しい

実際に偽サイトに入力するとどうなるのか試したのが図10だ。実在しないアカウントを入力してログインし、うその個人情報とカード情報を入力。するとページが閲覧権限なしと表示されてそれ以上進めない。ユーザーには何かの間違いのように見えるが、これで詐取は完了というわけだ。

図10　詐欺メールのリンクをクリックすると（1）、アマゾンを模した詐欺サイトが開いた。実在しないアカウント情報を適当に入力してログイン（2）。それでも問題なく進むので、認証手続きはないようだ（これだけで怪しい！）。続く画面で住所なども適当に入力し（3）、実在しないカード情報を入力したら（4）、「Forbidden」（閲覧権限なし）と表示されて先へ進めなかった（5）

ドメイン名にキリル文字　見分けられる？

詐欺サイトを見破るには、URLのドメインにおかしな部分がないかをチェックする。正規サイトと同じドメインを第三者が使うことはできない。ドメインの文字列で違いを見抜ければ偽サイトと判別できる（図11）。一方、偽サイト側も簡単にバレないように、見間違えやすいよく似た文字でドメインを偽装するケースが多い（図12）。

図11 URLをチェックする際は、「//」から次の「/」までの間のドメインが正規のものであるかを確認する。ドメインが意味不明な文字列だった場合は詐欺サイトで間違いない。正しいドメインに見せかけようと細工する詐欺サイトもある

図12 URL中にあるドメインの文字を巧妙に偽装する手口も多い。「amazon」を「amazoon」や「ama-zon」にするなどの偽装は注意深く見れば判別できるが、外国語の似た文字は困難。ワードにコピペして再変換すれば（文字を選択してスペースキーを押す）、それとわかるが面倒だ

URLの鍵マークも判断材料になる。鍵マークは通信が暗号化されていることを示すもので、個人情報を扱う通販サイトなどで鍵マークなしは常識的にあり得ない（図13）。鍵マークがない会員制サイトはまず偽サイトだ。

図13　ブラウザーのアドレス欄の左側に表示される鍵マーク（通信が暗号化されていることを示す）を確認する。鍵マークがない会員制サイトは危険なのですぐに閉じること。ただし、鍵マークがあっても偽サイトの可能性が残るので注意が必要だ

ただ、鍵マークがあれば安心とは限らない。鍵マークを使うには証明書が必要となるが、身元確認の抜け道を利用して、偽サイトが証明書を取得していることがある。このため、証明書の種類を調べる必要がある。種類が「DV」なら要注意（図14）。これは主に個人サイト向けで、個人情報を取り扱う企業サイトで使われることはない。証明書の種類は「チェックウェブサイトセキュリティ」で調べられる（図15）。