一般財団法人 日本サイバー犯罪対策センター JC3JC3 : Japan Cybercrime Control Center

脅威情報

  1. TOP
  2. 脅威情報
  3. トピックス
  4. JC3コラム ーサポート詐欺編(5)
公開日:
2021.12.22

JC3コラム ーサポート詐欺編(5)

第5話 始まりは突然に

サポート詐欺サイトとの出会いは偶然で、突然でした。

ある日、私はいつものように「過去に使われていたものの契約が更新されず捨てられてしまったのであろうと考えられるドメイン」についての調査をしていました。いくつかのドメインは単にアクセス出来なかったり、あるいは特に害のないサイトが表示されたりすることもありましたが、一部のドメインは「iPhone当選詐欺サイト」、別名「ラッキービジター詐欺サイト」に連れていかれることがありました。ラッキービジターと表示されるこの詐欺サイトを見たことがある方も中にはいらっしゃるかもしれません。これは、突然「iPhoneに当たりました」と表示され、画面上に紙吹雪が舞い散り、アンケートに答えると100円だとか1円だとかでiPhoneの最新機種が手に入れられるチャンス!という内容です。このサイトについてはJC3の注意喚起の動画をご覧ください。

この詐欺サイトに書いてある注意書きをちゃんと読むと、「月2,999円のサブスクリプション契約が結ばれます」などと書かれています。iPhoneが届かないのはもちろんのこと、入力したクレジットカードから引き落とされるなど不利益しかありません。このようなサイトには決して情報を入力しないでください。

おおっと!

少し話がそれましたが、ドメインの調査に戻ります。iPhone当選詐欺サイトが表示されないかな、と思いながら捨てられたさらに別のドメインにアクセスしようとしたところ、何か挙動が変で見たことのないサイトに連れていかれてしまいました。「これがテクニカルサポート詐欺サイトだ」と後に気が付くことになるのですが、音がビービー鳴り続けるわ、意味の分からない音声メッセージが流れ続くわ、全画面表示になったり、表示された印刷のダイアログを消すことができなかったり、泣きそうになりながら無理やりブラウザを終了させました。調査のためにもう一度アクセスしようとしても、別のサイトが表示されてしまい、その日はどうにもアクセスすることが出来ません。仕方がないので、別の日にアクセスすると表示されたりされなかったりと謎の挙動でした。当時遭遇したサポート詐欺サイトの動画はJC3の注意喚起をご覧ください。

脅威具体例:サポート詐欺の手口について(動画解説) - 日本サイバー犯罪対策センター

売り出し中

その後も悪戦苦闘をしつつ調査をしていくうちに、この詐欺サイトの仕組みについて少しずつ分かってきました。捨てられたドメインは別の誰かが取得できるようになった後、そのドメインにアクセスすると表示されるドメインオークションサイトが原因の一つのようです。

一部のドメインオークションサイトに埋め込まれてしまったあまり良くない広告から様々な不審なサイトに転送されるようで、その転送先がテクニカルサポート詐欺サイトだったりiPhone当選詐欺サイトだったりするようです。ただし、すべてのドメインオークションサイトが不審なサイトに転送するわけではないのが悩ましいところです。

ドメインを捨てると

ドメインがなぜ捨てられるかというと、必要がなくなったからです。誰かが新しいサービスを始めるために新しくドメインを取り、そしてサービスの提供が行われ、何らかの理由でサービスが終了すると、そのサービス用に取得したドメインをどうするか、という決断をすることになります。ドメインが必要なくなっても引き続き保持しておくという選択肢もありますが、ドメインの維持にはお金がかかるため、「契約を更新しなくてもいいよね」となるのは極々自然な発想かと思います。こうして「捨てられたドメイン」が誕生します。この捨てられたドメインが詐欺サイトへ誘導するための手口に悪用されてしまうことがあるのです。

一つ目の例はあまり人気のないドメインの場合です。ドメインが捨てられた後、別の誰かが取得できる状態になると、ドメインオークションサイトが表示されて、そこから不審なサイトに転送されてしまう可能性があります。二つ目の例は人気のありそうなドメインの場合です。検索エンジンや既存のリンクからそのドメインにアクセスしてくれると期待されるため、悪い人たちにそのドメインが取られてしまい、過去のサービスとまったく関係のないサイト、例えばアダルトサイトのようなものに仕立て上げられる可能性があります。これは専門用語的にはドロップキャッチと言われます。

どちらのケースにしても、自分ではすでに所有していないドメインで無関係となったものにもかかわらず、ニュースサイトの過去の記事や公的な組織の報告書類、リンク集みたいなものに組織名やサービス名と紐づいて残っていて、外からはいまだに関係があるドメインであるとみえることがあります。こうしたドメインが犯罪者に悪用されると、「A社のドメインからテクニカルサポート詐欺サイトに飛ばされた」とか、「アダルトサイトになっていた」とか、評判を落とすような情報がSNSで意図せず拡散されてしまうおそれがあります。このようなことを避けるためには、ドメインを恒久的に保持する必要がありますが、コストがかかります。

このため、リスク管理の観点からは、限られた期間しか使わないことが想定されるようなドメインはできる限り取得せず、既存のドメインを活用するなどして対応するのが好ましいと言えます。一方で、マーケティングの観点からは、キャンペーン用にクールでキャッチーなドメインを新しく取得して使おうと考えるというのも自然な発想かと思います。しかし、そうして次々と新規に取られたドメインが、サービスの提供期間次第ではほんの1年くらいで「捨てられたドメイン」へと変わり、不審なサイトの入り口として悪用されることになるリスク、それが組織や個人の評判を将来的に落とすかもしれないリスクも、考慮してもらいたいところです。私は、そうして知らず知らずのうちに犯罪者に悪用されてしまった「捨てられたドメイン」を数多く見てきました。

インシデントが起きてからよりも

問題はなるべく早いタイミングで片づけるべきでしょう。例えば男女が出会わなければ、別れたらどうしよう?と思い悩むことはありません(...!)それと同じでドメインも取らなければ悪用されることもありません。
チームで頑張って企画したキャンペーンやプロジェクトがせっかく成功裏に終わったのに、終わって少ししてから、「あなたが管理しているドメインから詐欺サイトに飛ばされた!」と冷や水を掛けられるのは嫌ですよね。ぜひ、長い目で、新しいドメインを取る必要があるか、ドメインを使い終わった後どうするかを考えていただければと思います。

まとめると、

  • 新しく取ろうとしているドメインは本当に必要ですか?
  • そのドメインでやろうとしているサービスは、すでに持っているドメインで実現できませんか?
  • サービス提供で利用することがなくなっても、ドメインを未来永劫保持し続ける覚悟はありますか?
  • もしドメインを捨てるなら、その後の影響を理解していますか?

今日のテクニカルサポート詐欺サイト

クリスマスも近いことですし、Xmasで始まるドメインにアクセスしてみました。

関連リンク

ページの先頭へ