ISP情報を表示して偽のサポート窓口へ誘導する詐欺サイトに関する注意喚起

ブラウザ上でWindowsのブルースクリーンを模した画面を表示し、あたかもマルウェアに起因する障害を生じているかのように見せかける詐欺サイトが国内外で確認されています。類似の詐欺は古くから存在しますが、最近確認されているものは、被害者のISP情報を表示するウィンドウをポップアップしたり、バナーでMicrosoftソフトウェアの専門家を名乗るなどして危機感を煽ります。このケースでは直ちに技術サポートと称する番号に電話をかけるよう促されます。メッセージが表示される段階では、あくまでHTMLコンテンツとしてブルースクリーンを模しているだけであり、マルウェア感染などの障害は生じていません。ポップアップが邪魔でブラウザが閉じられない場合は、タスクマネージャーからブラウザを選択して終了する、あるいはALT+F4ショートカットを使うなどしてポップアップを回避することが可能です。

なお、表示されるISP情報は、被害者の外部IPアドレスを元にWHOISデータベースから取得していると考えられます。ISPとしてIIJをご利用のお客様が同様の詐欺サイトに接続した際には、同画面に「Interne Initiative Japan」と表示されますが、同サイトで表示されるコンテンツやポップアップの内容について、IIJが関与したものではありません。

一般的に、このような詐欺サイトは、Malvertisingやスパムメールなどを利用して被害者を誘導します。 今回、IIJが確認したケースでは、誘導元サイトから、以下のようなMalvertisingと似たような遷移を経て、偽コンテンツを表示する詐欺サイトへ誘導されました。

bakXXXers.com [誘導元サイト] dntXXX.com clkfXXX.com eclXXXbn.com neXXXk.com a.XXXXXXXXXXXX.info [詐欺サイト]

このほかに、誘導元のサイトとして以下のようなドメインが確認されています。

www.vXXXokyo.com

niniXXX.com

XXXuxers.org

fileXXXker.org

これらはいずれも、過去に何らかのサービスなどに利用されていたものが、失効後に再取得され不正サイトの入り口として悪用されているものと考えられます。いずれのサイトにも通常のコンテンツは配置されておらず、HTTP応答コードまたは、JavaScriptによるリダイレクションによって上述の2行目のサーバに転送するように設定されていました。

このように失効したドメインが悪用されることは珍しくありません。事業主体の性質やドメインの用途、失効の理由にもよりますが、組織変更やサービスの見直しなどによって旧来のドメインを失効することになった場合は、本ケースのような悪用のリスクについても考慮する必要があります。

参考リンク: