最近蔓延しているスマホウイルス詐欺広告について調べてみました

その他

こんにちは。ritです。
ブログとしての更新はだいぶ間隔が空いてしまいましたが、まあ毎日書くような内容でもないし、そもそもブログメインのサイトではないのでいいかな・・・

と、いうことで今回も役に立ちそうな情報をお届けします。

今回のテーマは「最近蔓延しているスマートフォンの詐欺広告」についてです。

皆さんはスマートフォンのブラウザでネットサーフィンをしているときなどに以下のような画面が表示されたことはないでしょうか。

以上の画像は実際に私が遭遇した画面をキャプチャしたところです。
冷静に見ると明らかにおかしな日本語で書かれた部分がありますね・・・

このような内容で不安を煽ってきます。日本語がおかしいとはいえ巧妙に作られているので、突然こんな画面が出てくると何かあったんじゃないかと不安になりますよね?

仮に偽のページだったとしても、この画面が表示された段階でウイルスが仕込まれたんじゃないか? そう思っても不思議ではないと思います。

では、一体これらはどんな仕組みになっているんでしょうか。仕組みがわかってしまえば少しは安心できるのではないかと思います。実際に少しこれらを調べてみました。

偽のページが表示される仕組み

まず、なぜこのようなページに飛ばされるのか。というところですが、少し調べたところ、どうも一部のブログパーツ等の脆弱性を狙ってデータの改竄が起こっており、特定のそれらを表示させる時に強制的にページを移動させるようなものが仕込まれてしまっているようです。(というかこのブログも例外ではないかも・・・)

また、移動の際に特殊なスクリプトが利用されていることも確認できました。表示された時に戻るボタンを連打しても戻れない事があるのはこれも影響してるのではないかと思います。

強制移動先の詐欺ページの目的

これらのページは不安を煽る文句とともに、駆除用ソフトの紹介と導入を促してきます。

実際はここでダウンロードを誘導されているソフトは、ウイルス駆除とは全く関係ないソフトです。

なぜこんなことをしているのかというと、ダウンロード数に応じて詐欺ページを作った人に金が入る仕組みができているか、ここでダウンロードさせるソフトがウイルスそのものであったりする可能性があります。(一般的には前者と言われています)

さて、わざわざこんなことをさせているということは、裏を返せばページにアクセスしただけではユーザーの端末に無関係のソフトを仕込むことは難しいということにもなります。もちろん使っているソフトのバージョンが古くて脆弱性が修復されていないなど、状況も色々あるでしょうから100%とは言い切れませんが、基本的にはユーザーを騙してユーザーの手でこれらのソフトをインストールさせるように誘導している訳ですね。

つまり、このような文章が表示されてしまった時点で、今見ているページのタブを閉じたり、ブラウザを落としてしまったりすれば何の問題も起こりません。

詐欺ページの中身

これだけだとまだ信用できない!』という方のために、この詐欺ページの中身がどうなっているのか(推測が混じりますが)調査してみました!

まず、画像をキャプチャした際のページのURL構造ですが、

[ページのURL本体(php)][phpで読み込むデータ群]

という形になっていました。

更にこの[phpで読み込むデータ群]の内訳は以下の通りでした。

  1. スマートフォンのモデル
  2. 本体のメーカー
  3. OSのバージョン
  4. IPアドレス
  5. 謎の暗号(3種類)
  6. ページ番号?
  7. 時間?
  8. ページのタイプ?

暗号っぽいのはよくわからなかったんですが、その他は思いっきりデータ名がmodelだのbrandだのosversionだの隠す気が一切ない内容でした。

まあ要はページを強制移動させる過程でURLにデータを仕込み、このデータをphpで処理してスマートフォンの画面上に機種やIPなどの、あたかも「お前の個人情報を知っているぞ」というような情報を表示させてきているわけです。

ちなみにこれらのデータですが、誰でも簡単に表示させることができます。全く個人を識別できるものではありませんのでご安心下さい。(まあIPに関しては悪いことして裁判所から接続会社に情報開示要請が行ったら個人がバレるかもしれませんが・・・)

この通り、ちょっと見たらすぐ詐欺だと分かってしまうような内容なんですが、突然出てきて焦ったりそもそも詳しくなかったりする場合は引っかかってしまうんでしょうね。

余談ですが

URLをコピーしてPCからアクセスしてみたら、全く別の内容が表示されました。phpで接続端末を識別して違う文を表示させてるだけだと思いますが・・・

本当はスマホからももう一回アクセスしてちゃんとソースを解析しようと思ったんですが、足がつかないようにURLをころころ変えているらしく、後からアクセスしたときにはドメインごと消滅していました。データに秒数らしきものが埋め込まれていたのは、タイマーで自動消滅するようにでもしてたんですかね。

とにかく、

このようなページに飛ばされたとしてもそっ閉じしましょう。
それだけで解決します。絶対に余計なソフトのダウンロード等はしないように。

以上で今回のレポートを終了します。

スポンサーリンク
ブログ大

シェアする

  • このエントリーをはてなブックマークに追加

rit

スポンサーリンク
ブログ大