ブラウザの通知機能から不審サイトに誘導する手口に注意-IPA

安易に通知を許可しないで!

業務上、Web検索を一切しない職業もあるでしょうが、資料作成のために外部サイトを検察・閲覧することもあることでしょう。また、社内規定上は禁止されていても、昼休みにランチしながら社有PCでウェブブラウジングしていることなども実際あるのではないでしょうか。

そんな際にパソコンやスマートフォンでブラウザを起動中に、「<コンピュータが危険にさらされている>、<携帯をクリーンアップしてください>などのメッセージが繰り返し表示される」、またその表示画面から「不審なセキュリティソフトの購入や、不審なスマートフォンアプリのインストールに誘導された」といったこともあるのではないでしょうか。

このような相談が数多くIPAには寄せられています。そしてこれらに関して、ブラウザの通知機能(*1)を悪用し偽の通知を表示させ、不審サイトに誘導する手口を確認しているといいます。

今回は相談から確認した手口と対処、被害にあわないための対策について解説します。

*1:ウェブサイトからブラウザを通じて画面上に配信されるプッシュ型の通知サービス。2021年3月9日現在、iOS端末(iPhone、iPad等)にはブラウザ通知機能は搭載されていません。

 

その手口の概要と基本対策

図1:手口の概要と基本的な対策

不審サイトへの主な誘導手口としては、以下のような手法が用いられます。

1. ウェブサイト上でブラウザの通知を許可するように誘導される

2. ブラウザ起動中に偽の通知が表示される

3. 通知表示をクリックすると不審なサイトに誘導される

それでは次にそれぞれでのステップについて見ていくことにしよう。

1. WEBサイト上でブラウザの通知を許可するように誘導される

例えば、検索サイトで表示されたサイトにアクセスするなどして、サイトに訪れた人にブラウザ通知の許可ボタンを表示し、アクセスした人に「許可」を押させようとする。その際、CAPTCHA認証(*2)を装った画面を表示させて、「許可」ボタンを押させようと誘導している。(図2)


図2-1:CAPTCHA認証を装った「許可」ボタンへの誘導事例A(パソコン)


図2-2:CAPTCHA認証を装った「許可」ボタンへの誘導事例B(パソコン)


図2-3:CAPTCHA認証を装った「許可」ボタンへの誘導事例C(パソコン)


図2-4:「許可」ボタンへの誘導事例D(スマートフォン)(Androidバージョン11 スマホ Google Pixel3)

*2:アクセスしているのが機械でなく人間であることの判別をするための認証

2. ブラウザ起動中に偽の通知が表示される

図1の画面で「許可」を押してしまうと、当該不審サイトの通知許可がブラウザに登録されてしまう。
その後、ブラウザを起動中等に「パソコンがウイルス感染した」「スマートフォンをクリーンアップしてください」などの通知が表示されることになる。(図3)

パソコンにおいてはセキュリティベンダー企業(*3)や、Windowsのロゴを勝手に使用したと思わる通知がデスクトップの右下に表示される事例が確認されている。(図3-1)
これらの通知は根拠のない偽の通知内容であり、不安をあおって不審サイトに誘導する目的であると考えられる。


図3-1:パソコンのデスクトップ右下に出現する通知表示事例


図3-2:その他の通知表示事例


図3-3:スマートフォンに表示される通知表示事例(Androidバージョン11 スマホ Google Pixel3)

*3:マカフィー社『マカフィーのロゴが含まれた「コンピュータがウイルスやマルウェアに感染しやすい可能性があります。」などの怪しいメッセージが何度も表示される現象を解消する方法』参照

3. 通知表示をクリックすると不審なサイトに誘導される

通知表示をクリックすると、様々な不審サイトに誘導される可能性がある。
IPAではパソコンの場合「偽のセキュリティソフト購入サイト」や、「偽の当選サイト」に誘導される事例、スマートフォンの場合「不審アプリのインストール誘導サイト」が表示される事例を確認している。(図4)
誘導された不審サイトで操作を行うと、なんらかの被害が発生する可能性があります。


図4-1:パソコンで誘導される「偽のセキュリティソフト購入サイト」事例


図4-2:パソコンで誘導される「偽の当選サイト」事例


図4-3:スマートフォンで誘導される「不審アプリのインストール誘導サイト」事例(Androidバージョン11 スマホ Google Pixel3)

 

対処方法

ブラウザの通知方法に対しては以下の設定を参考にしてください。

1. ブラウザの通知の削除方法

ブラウザに登録した通知許可を削除することで、通知表示を止めることができます。

Google Chrome(パソコン)の場合 ※バージョン89.0.4389.82

  1. Chrome画面右上のメニューボタン(縦の・・・)をクリックし、「設定」を選択。
  2. 「プライバシーとセキュリティ」>「サイトの設定」を選択。
  3. 「通知」を選択。
  4. 「許可」欄の不審なURLのメニューボタン(縦の・・・)をクリックし、「削除」を選択。

Google Chrome(Android)の場合 ※バージョン88.0.4324.181

  1. Chrome画面右上のメニューボタン(縦の・・・)をタップし、「設定」を選択。
  2. 「通知」を選択。
  3. 「サイト」欄の不審なURLのスイッチボタンをOFFに変更。

Microsoft Edge(パソコン)の場合 ※バージョン89.0.774.48

  1. Edge画面右上のメニューボタン(・・・)をクリックし、「設定」を選択。
  2. 左側メニューの「Cookieとサイトのアクセス許可」を選択。
  3. 「通知」を選択。
  4. 「許可」欄の不審なURLのメニューボタン(縦の・・・)をクリックし、「削除」を選択。

Microsoft Edge(Android)の場合 ※バージョン46.01.4.5140

  1. Edge画面下のメニューボタン(・・・)をタップし、「設定」を選択。
  2. 「サイトのアクセス許可」を選択。
  3. 「通知」を選択。
  4. 「許可」欄の不審なURLをタップし、「データを削除してリセット」を選択。

Firefox(パソコン)の場合 ※バージョン86.0

  1. Fire fox画面右上のメニューボタン(三)をクリックし、「オプション」を選択。
  2. 左側メニューの「プライバシーとセキュリティ」を選択。
  3. 「許可設定」の「通知」の右側の「設定」を選択。
  4. 不審なURLの「現在の設定」を「不許可」に変更し、「変更を保存」を選択。

Firefox(Android)の場合 ※バージョン86.1.1

  1. Firefox画面右下のメニューボタン(縦の・・・)をタップし、「設定」を選択。
  2. 「サイトの許可設定」を選択。
  3. 「通知」を選択。
  4. 「ブロック」を選択。

各ブラウザ操作方法の詳細は、お使いのパソコン/スマートフォンメーカーのサポート情報、各ブラウザのヘルプページを参照してください。


図5: Microsoft Edgeの通知削除画面

2. 誘導された不審サイトで操作を行った場合

誘導された不審サイトでの手口種別により、IPAの情報を参照して対処を行ってください。

有償の「ソフトウエア購入」や「サポート契約」の場合(パソコン)

不審アプリのインストール誘導の場合(スマートフォン)

偽当選サイトの場合(パソコン、スマートフォン)

国民生活センター(越境消費者センター):iPhone当選に見せかけた有料サイト登録・課金に関する相談

そして、なにより被害にあわないためには

被害に遭ってしまった時の対応も必要ですが、何より被害に遭わないことの方が重要です。
セキュリティアプリを過信せず、以下の行動に注意し、個人レベルでの注意が必要です。

1)安易に通知の許可をしない

  • ブラウザの通知の「許可」を安易に押さないでください。
  • 自分が通知を望むサイトか判断がつかない場合は許可をしない方が賢明です。

2)表示された通知表示に注意する

  • ブラウザ起動中に繰り返し表示されるセキュリティ警告などを鵜呑みにしないようにしてください。
  • ブラウザに不審サイトの通知が登録されていないか確認をしてください。
  • 通知内容の真偽の判断がつかない時は、自分が使っているセキュリティソフト/アプリのサポートや、パソコンメーカーに確認をとってください。

3)通知表示から誘導されたサイトで操作をしない

  • 誘導されたサイトで、ソフトをインストールしないでください。
  • 誘導されたサイトに表示されている番号に電話をかけないでください。
  • 誘導されたサイトで、アカウント情報、電話番号、メールアドレス、クレジットカード情報などの個人情報を入力しないでください。

企業セキュリティといえども、その入口は各人の意識に依存するところも多いのです。
情シスは日頃からこのような意識を社員に持ってもらう努力をしていかないといけませんね。


本内容は、IPA様のプレス発表内容を元に作成しております。
ソース:https://www.ipa.go.jp/security/anshin/mgdayori20210309.html

関連記事

ピックアップ記事

  1. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  2. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. 「ゼロから学ぶ」ゼロトラストセキュリティ#07:実装編2「Palo alto Networks」

  2. 【情シス基礎知識】今だからこそWindows Helloが生きる!?

  3. いまさら聞けない【情シス知識】Chromebookは安全なのか?

  4. 「セキュリティの未来は雲の中に」SASEはDXの切り札か(後編)

  5. 松田軽太の「一人情シスのすゝめ」#17:嫌われる情シスと感謝される情シスの違いとは

  6. 「セキュリティの未来は雲の中に」SASEはDXの切り札か(前編)

  7. シリーズ『IDaaSの教科書』4)認証強化の種類とその仕組み

  8. テレワークとIT業務委託のセキュリティ実態調査-IPA

  9. 「ゼロから学ぶ」セキュリティ脅威(基礎編) #2 どうやって守り、その手法は?

  10. ”ウィズコロナ”時代の情シス業務

プレスリリース

登録されているプレスリリースはございません。

関連サービス

Banner_Josyscareer

Banner_ITMS

Banner_ITMSD

おすすめ記事

  1. 「Chromebookにはウィルス対策がいらない」そんな言葉を見聞きしたことはないでしょうか? 文…
  2. WordファイルやExcelファイルなどの編集が終わったら、パスワード付きでZIP圧縮。メールにZI…
  3. Webサービスの利用が増える中、新しいセキュリティ技術「Webアイソレーション」が注目されています。…
  4. 働き方改革の盛り上がりもあり、近年、耳にする機会が増えた「テレワーク」と「リモートワーク」。これに対…
  5. WebサイトのURLには「http://」で始まるものと「https://」で始まるものの2種類があ…
ページ上部へ戻る