先日、「遠隔操作詐欺」とおぼしき引っかかる寸前だった人の対処をしました。だけど調べてみると最近になって国内でもそれが急増しているようでしたので、注意喚起も兼ねてその時の経験、及びそこで考えたことを今日は書いてゆこうと思います。
- 知人からPCに関して相談があった
- 実際にパソコンを検証すると……
- ダウンロードさせられたソフトは遠隔操作ソフト「Term Viewer」
- 被害検証
- テクニカルサポート詐欺
- 詐欺とセキュリティ知識の差問題
- 遠隔操作サポート詐欺に遭遇した時用簡易まとめ
知人からPCに関して相談があった
先日、知人A氏から電話で連絡がありまして、「なんかマイクロソフトのサポート(?)からリモートでサポートするから金払えって言われたんだけど、なんか相手の日本語カタコトだし怪しいと思うのだけど……」と相談がありました。そして詳しく聞くと、何か表示が出て来たのでそこに連絡をしたら、ソフトをダウンロードさせられて画面で何かやってる。そして前述のように契約しろと言われてその時点で不審に思ったので電話してきた、ということです。
これは露骨に怪しいと思った私は、知人にまず回線を切ること、そしてクレジットカードをネットで使っているか聞き、答えがYES(Amazonなどで利用)だったので、即クレジットカードを停止して再発行を依頼するように連絡しました。
実際にパソコンを検証すると……
後日、そのパソコンを見つつ説明を詳しく聞くことに。すると当時は以下のような過程だったようです。
・突然、PC画面に重大そうな警告が出て、この異常を解消するためにはここに電話をかけろという電話番号が表示される。 ↓ ・そこで実際に電話をかけると、なんかサポートのオペレータが出るが、なんか日本語で話すけど妙にカタコト(ここで最初に怪しいと思ったという)。 ↓ ・その人はマイクロソフトと関係しているようなこと、さらに遠隔操作のサポートが必要だということを言われて、何かソフトをダウンロードさせられる。 ↓ ・そしてコンビニで決済を使って金を振り込めといわれるが、そこで前述のことも相まって怪しさが増したので、電話を切って私に連絡した、とのこと。
その後指示した通りに通信回線と電源を切断し、クレジットカードを停止となったわけです。
そこでPCを見てみると、なんか妙なソフトがデスクトップに。これはどこから見つけたか聞くと、ダウンロードするように指示があったので、とのこと。ではそもそも何故その表示が出たのか、というのを聞いてみると、いきなり出た、とのこと。
ここで推理をして、「じゃあその警告はネットをブラウザで見ているときに出た?」と聞くと答えはYES。ああ、これはと思って履歴を確認すると、予想した通り妙なアドレスが。ここで広告クリックによる表示だと確信。
つまり、警告はとあるサイトの広告をクリックしたことにより表示される偽物の警告。あとで確認してみると、やはり広告クリックにより警告「のように見える」ウインドウを立ち上げるタイプのものでした。知人はこの偽の警告を見て、これがPCから発せられているものであり、異常が生じたと思ってそこに表示されているサポートに連絡した、とのこと。
ダウンロードさせられたソフトは遠隔操作ソフト「Term Viewer」
その後サポートに電話したら、カタコトの日本語で「マイクロソフトからサポート契約を受けている」と話す人が出て、ソフトをダウンロードするように言われ、それをダウンロートしてしまったとのこと。
しかし、私はすでにこのソフトの正体は見たことがあったのでわかっていました。その正体は「Teamviewer」という遠隔操作ソフト。こんなアイコンのヤツです。
本来はビジネスサポートなどでの遠隔操作に使うソフトで無償でも配布されていますが、これが別のところで悪用されたことになります(まあもっと隠蔽する独自のソフトかと思ったけど既存ソフトを使うというズボラだったので正体判明がラクだったのは幸い)。
さらにこれで相手方に操作されるにはパスワードが必要なのですが、それを勝手に発行されるツールもダウンロードさせられていたようで、「ダウンロード」のフォルダにそれらしきものが入っていました。詳しくは聞かなかったのですが、ここで向こうの言う通りの手順でインストールをしてしまったと推測されます。
そしてその後「サポート契約をするから金を払え」と言うようなことを言われて、金を払うように言われたとのこと。その決済手段はVISAのVプリカだった模様。これをコンビニで購入して払い込むように言われたようです。だいたい2万円くらいだったようです。
ここでさすがに怪しいと思って私に連絡が来て、指示した通りに回線抜いてクレカ停止処理となりました。
被害検証
まず、TermViewerとその怪しいパスワード発行ツールをアンインストール。この時点ではまだネットにつないでいませんでしたが、私の家から持ってきたマイクロソフト公式の悪意のあるソフト駆除ツールMicrosoft Safety Scannerにてオフラインのまま検知。あとローカルにあったマカフィー(PCディフォルト付属)のスキャンも。あとレジストリも自分の分かる範囲で確認。
一番気になったのは「何かデータを抜かれていないか」でしたが、通信履歴等も軽く調べてみたところ相手のリモート時間が短かったためか特に大きなものはたぶんなかった様子。それよりもそのパソコンがネット閲覧とゲームのそれしか使っていなかったのが幸いしました。よってこのパソコンで使った全てのアカウントやパスワードを変更するように言っておき、スキャンなどし終わり異常がなかった時点で改めてネットに繋ぎ直し(個人情報に関連するようなデータはすべて待避)。そして様子見をしたところ大丈夫そうだったので、ディフォルトじゃないセキュリティソフトを勧め、あと何かあったら連絡してと告げましたが、あとは大丈夫な模様(たぶん)。あと、ブラウザにそのような詐欺広告を表示させないためにADBlockを入れておきました。
テクニカルサポート詐欺
この手の「広告を踏ませて警告を表示させたり対策ソフトを交わせたりする」タイプの詐欺は前々から聞いていたのですが、今回改めて調べ直すといろいろ出てきました。
■偽の警告で騙す詐欺に注意~電話をかけさせる新手口:セキュリティ通信:So-netブログ
■[電話詐欺] Windowsセキュリティの重要な警告 アンチウイルスサービスでエラー!? 050-5865消し方 ( その他コンピュータ ) - 無題な濃いログ - Yahoo!ブログ
■海外の詐欺商法に泣き寝入りしない | WorkDesign
手法は微妙に異なるところがありますが、遠隔操作ソフトをダウンロードさせ、それによりテクニカルサポートを結ばせようとするようで、IPAやマイクロソフト公式からも警告が出ているようです。
■2015年8月の呼びかけ:IPA 独立行政法人 情報処理推進機構
■Microsoft Security Response Center
少し前に福井県池田町議会事務局で情報流出がありニュースになりましたが、おそらくこれと同じか類似のパターンだったと思われます。
ちなみに今日、ちょうど似たような状況のものがまとめられていました。同一のところかはわかりませんが、手口は同じタイプと言ってよいでしょう。
この詐欺の悪質なところは、壊れてもいないPCをさも壊れているようにしてサポート契約を結ばせることですが、同時にただの金銭要求のみならず、遠隔操作を可能にする状態にすることで、情報を盗み出せるようにもしてしまう、ということです。
あと、昔はこの手のサイトは怪しいところが多いですが、近年ではそうでもない見た目普通のサイトの広告にさえ表示されるケースがあるようですので念のため(勝手に怪しいサイトを見ていたからと決めつけると、風評被害を怖れて詐欺の報告例が隠れてしまうし)。
詐欺とセキュリティ知識の差問題
しかし一連の出来事の対処をしているうち、セキュリティに関しての根本問題が浮き出てきました。というのは、「このような詐欺はそもそもセキュリティ知識のある人は引っかかるどころか見ることも少ない、しかし知識のない人はよく見て、そして引っかかってしまいやすい」ということ。つまり警告を発することの出来る人はあらかじめそういうのが来ないように対策をしており直面しないので、具体的に気づかなかったり具体例がわからず警告を出しにくいという問題。これはたぶん詐欺や悪徳商法全般に言えるのではないかと思います。
それなりに知識がある人を基準としてしまうと、万一被害に遭った時にその人の無知を責めることになるだけで解決にはなりません。故にその手の詐欺を撲滅するには、そういったパソコンやネットの知識があまりない人の立場から見た考慮及び対策が必要でしょう。
あと、広告収入というサイトの運営費用を阻害していると言われる広告ブロック機能(アプリなど)ですが、こういう詐欺に繋がるようなものを広告で出してしまうとしたら、広告収入以前にセキュリティ的な意味でそれを導入せざるを得なくなってしまいます。もっとひどくなった場合、かつてポップアップ広告が辿ったように、セキュリティソフトが広告ブロックを実装してしまう時代も来るのではないでしょうか。
その傾向を広告の配信元や広告で運営費を出しているサイトが防ぎたいのであれば、尚更そのような詐欺広告に対しては厳しい対処をする必要はあるでしょう。
遠隔操作サポート詐欺に遭遇した時用簡易まとめ
最後に、もしかしたらここに検索などで同じものに引っかかってしまった人が来て読まれるかもしれないので、簡易的ですが対策をまとめておきます。
なんかパソコン使用中に怪しい警告画面が出て、サポートに電話しろと書かれている
→偽警告。おそらく広告を踏んだこと出てきてます。システムに全く関係ないので無視(一応ウイルススキャンをかけておいたほうがいいかも)。
サポートに電話したら、なんかソフトをダウンロードさせられた後、PCの挙動が怪しいかったり勝手にアイコンが動く
→インストール前の場合、遠隔操作ソフトの可能性が高い。インストールしてはいけません。もしインストールしていたら、回線を切断した後即刻アンインストール&セキュリティソフトで検知。
また遠隔操作された後は、万一に備えて使用していたサイトのパスワードを全部変更、クレジットカードを入力したことがあったらカードを停止、再発行をしたほうがよい。わかるならば履歴を見て、何かダウンロードされてないか確認する。
サポート契約を結ぶために金を要求された
→払ってはいけない(それがコンビニ決済などでも)。クレジットカード番号も絶対に教えてはいけない。ちなみにマイクロソフトなど大手ベンダーやその系列を名乗っていても信用してはいけない。
金を払ってしまった&クレカ番号を教えてしまった
→クレジットの場合、クレジット会社に電話してカード停止&事情説明。オンラインマネーなどの場合難しそうですが、消費生活センターや弁護士などに相談。
あとどの場合もオフィスなどで使っていてシステム管理者がいるなら、即時連絡しましょう。