001. そのウイルス感染警告は偽物?サポート詐欺に注意!(電話や応答はしないで)
最近、本学の教職員・学生からサポート詐欺について、複数件の相談を受けています。
また、他大学でも同様の被害が出ており、金銭や情報漏えいの被害が発生しています。本記事では、サポート詐欺の特徴と対処方法をお伝えします。
サポート詐欺とは
偽のウイルス感染の警告表示とともに大きな警告音も鳴って恐怖を煽り、電話や画面の指示で遠隔操作や悪意のあるソフトウェアのインストールを促し、金銭や情報窃取を目的とした詐欺です。ブラウザ(Edge, Chrome, Safari等)でWebサイト閲覧中や検索結果を開いた際に表示されることが多いようです。
特徴
ウイルス・トロイの木馬等への感染との警告を表示したり、ピーピーと警告音を発したりすることで、利用者の危機感を煽ります。また、閉じるボタンを表示せず、[Alt+F4]、[Ctrl+W]等の終了・閉じるショートカットキーも効かないようにしており、一見、PCの操作ができなくなるように見せかけます。
騙される手口1(電話)
表示されている電話番号へかけると、遠隔操作ソフト(リモートワーク等で利用するもの)をインストールさせて遠隔操作して、有償サポートを要求され金銭(プリペイドカード・クレジットカードの番号)を要求するとか、ネットバンキングサイトへ誘導される。
騙される手口2(マルウェア感染:ClickFix)
画面で復旧するコマンド・ソフトウェアと偽り、「ファイル名を指定して実行」(田+Rキー、右図)から不正なコマンド(コピペ)を実行させようとする。
もしくは、Edge等のブラウザを経由し、ファイルをダウンロードさせ(ブラウザの設定等では自動でダウンロード)開くように促させる。これらは、情報窃取のマルウェアに感染します。
どのようなWebサイトで?
一般的に言われる怪しいサイトだけでなく、一般サイト・報道機関やGoogle検索から開いて表示された例が学内外で確認されています。(広告が表示されているサイトでの被害例が多いので、悪質な広告が混在したことが想定されます。普段利用していたWebサイトが改ざんされていた例もあった。)
Windowsパソコンでの例が多いようですが、Macやスマートフォンでも例があるようです。
対処:閉じる(Escキーの長押し、タスクマネージャーからブラウザ終了)
偽の警告画面は、閉じるボタンを非表示(モニターより大きなサイズの画面表示)や偽の×ボタンを偽装していて、終了・閉じるショートカットキー(Alt+F4,Ctrl+W)を無効にしているので、通常の操作では閉じることができないように制限されています、以下の方法で閉じてください。
閉じる方法1(Widnowsのショートカットキーを利用)
Escキーを数秒(3秒)長押しすると閉じるボタンが表示されるので、マウス等で閉じてください。
閉じる方法2(Windowsタスクマネージャー)
[Ctrl]+[Alt]+[Delete]キーを同時に押し、「タスクマネージャー」を選択し、警告が表示されたブラウザ(Edge, Chrome等)を選択し右クリック→「タスクの終了」を選択してください。
ブラウザの再起動時に「ページの復元」は「×」で復元しないようにしてください。
警告表示や警告音が消えたら、ブラウザの履歴(キャッシュ)をクリアしておきましょう。
キャッシュの消し方 (Microsoft Edgeの場合)
ブラウザ右上部の「…」>履歴>ゴミ箱アイコン>
時間の範囲:「過去1時間」(偽警告が出た時間で適宜変更)、「閲覧の履歴」・「ダウンロードの履歴」・「Cookieおよびその他のサイトデータ」・「キャッシュされた画像とファイル」にチェックし「今すぐクリア」を選択
キャッシュの消し方 (Google Chromeの場合)
ブラウザ右上部の縦の「…」>設定>プライバシーとセキュリティ>閲覧履歴データを削除
期間:「過去1時間」(偽警告が出た時間で適宜変更)、「閲覧履歴」・「Cookieと他のサイトデータ」・「キャッシュされた画像とファイル」を選択し「データを削除」を選択
なお、Cookieを削除したことにより、ログインしていたWebサイトはログアウト状態になることがありますので、再度ログインしなおしてください。
デスクトップ右下から警告表示が表示され続ける (止まらない)
Windowsでデスクトップ右下(Macは右上、Androidは画面全面)からの警告がポップアップ表示される症状は、ブラウザの通知設定を悪用した詐欺だと思われます。その警告にブラウザ名(Edge, Chrome等)とURLが記載されていることが多いので、それを参考にブラウザの設定から通知設定を削除してください。
IPAの注意喚起 「ブラウザの通知機能から不審サイトに誘導する手口に注意 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構」 の「2.対処」の段落にブラウザごとの設定方法が説明されています、「4.手口検証動画」に通知を許可してしまう手口の解説動画もあります。
被害にあった場合 (遠隔操作を受け入れ、ソフトウェアのインストール、金銭等の支払いなどを行ってしまった場合)
香川大学CSIRTや情報メディアセンターヘルプデスクへご相談ください。
遠隔操作を受け入れた・ソフトウェアのインストール
PCをネットワークから遮断(有線LANケーブルを抜く、Wi-Fiを無効化)し、インストールした遠隔操作ソフトウェア等をアンインストールし、IPAの注意喚起を参考に「システムの復元」を行ってください。なお、教職員の業務(教育・研究・診療・事務)に利用しているPCは、必要なデータをバックアップしてPCの初期化をおすすめします。
悪用される遠隔操作ソフトウェア:「AnyDesk」「LogMeIn Rescue」「TeamViewer」「UltraViewer」(リモートワーク等で利用されるソフトウェア)
金銭の支払い、アプリの課金(サブスクリプション)
クレジットカード番号等を入力、プリペイドカードの番号を伝えたなどは、それぞれの管理会社へ連絡してください。
スマートフォンの課金(サブスクリプション)した場合、アプリをアンインストールしただけでは課金契約は解除されません、iPhoneの場合はサブスクリプションの解約、Androidの場合は定期購入の解約を行いましょう。
ネットバンキングのサイトへ誘導された場合(学内で事例あり)、銀行へ連絡してください。パスワードを入れたなら銀行の公式サイト・公式アプリからパスワードを変更してください。
これらの被害に遭った場合、警告画面やインストールしてしまったソフト等がわかる資料を持参して、警察へ通報・相談を行ってください。
教職員が業務で利用するPC等なら、情報漏えいも危惧されるため、上司・香川大学CSIRTへ報告を行ってください。
参考資料
- 偽セキュリティ警告(サポート詐欺)対策特集ページ | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 (疑似体験サイトなどがあります)
- 会社や組織のパソコンにセキュリティ警告が出たら、管理者に連絡! | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
- JC3コラム ーサポート詐欺編(1) | トピックス | 脅威情報 | 一般財団法人日本サイバー犯罪対策センター(JC3)
- マイクロソフトのサポートを装った詐欺にご注意ください – News Center Japan
- サイバー警察局便り2024No.10 (警察庁)
- 東京電機大学の注意喚起 ISL.im.東京電機大学 – サポート詐欺
- 杏林大学の注意喚起 3分でわかる情報セキュリティ(臨時号) ― 非常に危険!進化する偽ウイルス警告編 – 杏林大学 総合情報センター
