Malwarebytesは8月26日(米国時間)、「PSA: These 'Microsoft Support' ploys may just fool you|Malwarebytes」において、公式サイトを悪用するサポート詐欺に注意を呼びかけた。最近発見された2種類のMicrosoftサポート詐欺について調査結果を解説している。

  • PSA: These 'Microsoft Support' ploys may just fool you|Malwarebytes

    PSA: These 'Microsoft Support' ploys may just fool you|Malwarebytes

2種類のMicrosoftサポート詐欺

Malwarebytesが最近発見した2種類のMicrosoftサポート詐欺の概要は次のとおり。

Microsoft Learnコレクションの悪用

Microsoft LearnコレクションはMicrosoft Learnプロファイルを持つすべてのユーザーが利用できる機能。ユーザーは任意の学習コンテンツを作成・共有することができる(参考:「Learn コレクションを発表 | Microsoft Learn」)。

このケースで、詐欺師は被害者の誘導にGoogle検索のマルバタイジングを用いた。偽広告は「microsoft support」をキーワードにして検索したときに表示され、外見上はMicrosoft公式の広告に見えるとされる。

偽広告をクリックすると、Microsoft Learnコレクションの公式サイト「learn.microsoft.com」にリダイレクトされる。しかしながら、表示されるコンテンツは詐欺師が作成したもので、偽のMicrosoftサポートへの連絡先を表示する。

  • 公式サイトに表示される偽Mirosoftサポートページの例 - 引用:Malwarebytes

    公式サイトに表示される偽Mirosoftサポートページの例  引用:Malwarebytes

この攻撃は一見不審な点は少なく、ある程度のフィッシング対策の知識があるユーザーもだまされる可能性がある。広告およびMicrosoft Learnのプロファイルを確認する場合や、サポートの電話番号がMicrosoft Learnに掲載されていることに不自然さを感じたユーザーは回避できると考えられる。

Microsoft Searchのハイジャック

このケースにおいても詐欺師は被害者の誘導にGoogle検索のマルバタイジングを用いる。リダイレクト先はMicrosoft Searchの検索結果ページで、検索キーワード(クエリ)に次の文字列が指定される。

  • Call+%2B1+%28XXX%29+XXX-XXXX++Microsoft+Support+%28USA%29

この文字列は検索キーワード入力欄に表示されることになるが、URLエンコード文字がデコードされ画面上には「Call +1 (XXX) XXX-XXXX Microsoft Support (USA)」と表示される。

  • 公式サイトに表示されるMirosoftサポートの偽の連絡先 - 引用:Malwarebytes

    公式サイトに表示されるMirosoftサポートの偽の連絡先 引用:Malwarebytes

対策

Malwarebytesは同様の詐欺を回避する方法として、ヒントを挙げている。その概要は次のとおり。

  • 広告に表示される電話番号にはかけない
  • スポンサー広告のリンクから公式サイトにアクセスしない。広告を無視して通常の検索結果の中から公式サイトのリンクを見つけてアクセスする。ただし、攻撃者はSEOポイズニング(検索順序の改ざん手法)を使用して悪意のあるWebサイトを検索上位にすることがある。そのため、可能であればブックマークやアドレスの直接入力が推奨される
  • アクセスしているWebサイトのURLが正規のアドレスかどうかを確認する。このときタイポスクワッティングに注意する
  • サポートが必要な場合は最初に知識のある友人、知人を頼る

これらサポート詐欺は被害者を公式サイト上のフィッシングページに誘導する。公式サイトの悪用はシグネチャ方式のセキュリティソリューションを回避する目的があると考えられるが、高度なセキュリティソリューションを使用することで回避できる可能性がある。