近年、サイバー攻撃者は、ますます巧妙な手口で企業や個人を狙うようになっています。その1つに、「ダミーサイト」と呼ばれる偽のウェブサイトを利用した攻撃があります。このダミーサイトは、本物のウェブサイトにそっくりに作られており、セキュリティ対策をすり抜けて、ユーザーを欺こうとします。
本記事では、この危険なダミーサイトの特徴、そしてどのようにしてユーザーを誘導するのか、具体的な対策方法まで詳しく解説します。
サイバー攻撃者は、セキュリティ製品の検知やアナリストによる分析を妨害するためさまざまな手法を用いている。近年、当社のスレットハンティング業務の中で、サポート詐欺サイトにダミーサイトが利用されている事例を確認した。本記事では、ダミーサイトの特徴を解説し、その誘導方法や対策について紹介する。なお、サポート詐欺の特徴や対処方法は、IPAの「偽セキュリティ警告(サポート詐欺)対策特集ページ」を参考にしてほしい。
ダミーサイトの特徴
ダミーサイトの最も大きな特徴は、通常は正規サイトを装ったダミーのコンテンツが表示され、条件を満たした場合のみ偽のセキュリティ警告が表示される点だ。
図1は、ダミーサイトの同一ページで実際に表示されたものである。通常は左の画像のように、正規サイトを装ったコンテンツが表示される。しかし、アクセスしたユーザーが条件を満たしていた場合、右の画像のように偽のセキュリティ警告が表示される。
図1:ダミーサイトに表示されるダミーのコンテンツ(左)と、偽のセキュリティ警告(右)
偽のセキュリティ警告が表示される条件とは何なのか。その条件を推測するため、ダミーサイトの挙動を基に分析した。はじめてダミーサイトにアクセスすると図2のページが表示される。
図2:初回アクセス時に表示されたページ
初回のアクセス時は、よく見かける偽のセキュリティ警告画面が表示された。続いて、クエリの内容も含め、まったく同じURLに再度アクセスをしてみた。
2回目のアクセスでは、正規サイトを装ったダミーのコンテンツが表示された(図3)。
図3:2回目のアクセス時に表示されたページ
この後、クエリの一部を変更してからアクセス、キャッシュを削除してからのアクセス、初回と同じ方法でのダミーサイトへアクセスなどを試してみたが、再び偽のセキュリティ警告画面が表示されることはなかった。この結果は、初回アクセス時にフィンガープリントが攻撃者に送られ、再度アクセスした際に合致する端末からのアクセスであればダミーのコンテンツを表示するなどの条件が設定されていると推察している。続いて、該当のドメインを検索エンジンで検索した(図4)。
図4:ダミーサイトのドメインの検索結果
不審サイトの多くは検索しても結果に表示されないことが多いが、ダミーサイトは正規サイトを装っているため検索結果に表示される。検索結果からダミーサイトへ複数回アクセスを試みたが、2回目以降にアクセスした際と同様のページ(図5)が表示され、偽のセキュリティ警告画面が表示されることはなかった。
図5:検索結果からアクセスした際に表示されたページ
ダミーサイトへの誘導方法
ダミーサイトは、検索結果からアクセスしてもダミーのコンテンツが表示されることが分かった。それでは、具体的にどのような手口でターゲットを偽のセキュリティ警告画面へ誘導しているのか。調査結果では、サイトに表示される広告を悪用し、広告経由でユーザーがアクセスをした場合に警告画面が表示されるようになっていた。また前述のとおり、広告経由であっても、初回アクセスのユーザーをターゲットとしている可能性がある。
では、以下の3枚の画像の内、どれがダミーサイトへ誘導される不正広告だろうか?
図6:広告1(下部の「続ける」)
図7:広告2
図8:広告3
答えは、すべてが不正広告である。いずれも広告をクリックすると、サポート詐欺などの不審サイトへ誘導されてしまう。ダミーサイトの恐ろしい点は、通常の検索では正規サイトを装ったコンテンツが表示されるため不審サイトと判定されず、セキュリティ製品の検知をすり抜ける可能性が高い。また、ダミーサイトは直近に作成されたドメインが利用される傾向にあるため、セキュリティ製品での検知をさらに困難にしている現状がある。悪意あるコンテンツを検出するサービス「VirusTotal」で、ダミーサイトを確認したが、いずれも悪性情報は確認されなかった(図9、10)。
図9:不審サイトのレピュテーション
図10:不審サイトのレピュテーション
対策方法
先述のとおり、ダミーサイトはセキュリティ製品での検知が難しく、正規の広告配信サービスを悪用して掲載しているため、怪しいサイトに限らず、正規サイトであっても誘導される恐れがある。そのため、広告を安易にクリックしないよう徹底することが重要だ。もしダミーサイトへ誘導され、偽のセキュリティ警告画面が表示された場合には、サイト内での操作や表示された番号に連絡はせず、速やかにブラウザーを閉じるようにしてほしい。
サポート詐欺サイトとして用いられるダミーサイトの特徴を解説してきたが、攻撃者は日々新たな攻撃手法の開発を行っているため、セキュリティ製品の検知もすり抜ける可能性があり、それに頼るだけでは被害に遭う恐れがある。そのため、1人1人が最新情報を収集し、常に新しい脅威に対して注意を払っていく必要がある。
