Windows版Google Chromeユーザーを主なターゲットにしたテクニカルサポート詐欺の手法 17
ストーリー by headless
詐欺 部門より
詐欺 部門より
Webブラウザーに偽の警告画面を表示して電話をかけさせるタイプのテクニカルサポート詐欺では、ユーザーの操作を困難にするためのさまざまな手法が用いられるが、Windows版のGoogle Chromeユーザーが主なターゲットとみられる新たな手法による攻撃をMalwarebytesが報告している(Malwarebytes Labsの記事、
Neowinの記事、
Ars Technicaの記事、
SlashGearの記事)。
この手法では、ウイルスに感染したのでISPがPCをブロックしたといった内容の警告とMicrosoftの偽の電話番号を表示するとともに、大量のファイルダウンロードを実行してCPU使用率を100%まで上昇させ、ウインドウやタブを閉じることができないようにする。ダウンロードするファイルは実体があるわけではなく、Blobオブジェクトを生成し、window.navigator.msSaveOrOpenBlobメソッドで保存するというものだ。これを繰り返すことで大量のファイルダウンロードが実行されることになる。
この手法では、ウイルスに感染したのでISPがPCをブロックしたといった内容の警告とMicrosoftの偽の電話番号を表示するとともに、大量のファイルダウンロードを実行してCPU使用率を100%まで上昇させ、ウインドウやタブを閉じることができないようにする。ダウンロードするファイルは実体があるわけではなく、Blobオブジェクトを生成し、window.navigator.msSaveOrOpenBlobメソッドで保存するというものだ。これを繰り返すことで大量のファイルダウンロードが実行されることになる。
攻撃は実際に行われているものであり、Chrome最新版のバージョン64.0.3282.140も影響を受ける。そのため、報告を受けたChromiumチームが対策を検討しているようだ。Chrome以外のブラウザーはUser Agent文字列別のランディングページが用意され、別のHTML APIによる手法が用いられているとのことだが、MalwarebytesはFirefoxとBraveも影響を受けることを確認し、それぞれ報告したとのこと。
なお、この手法ではベンダー接頭辞「ms」のついたメソッドが使われているが、MalwarebytesがUser Agent文字列をChromeのものに変更したInternet ExplorerやMicrosoft Edgeで試したみたところ、ウインドウを閉じることは可能だったという。JavaScriptコードの関数名(ch_jam、bomb_ch)に「ch」が付けられているところからみても、Chromeユーザーを念頭に置いた手法と考えられるとのことだ。
このような攻撃は主に不正広告経由で行われるため、Malwarebytesでは効果的な緩和策として広告ブロックソフトウェアの使用を挙げている。
よし、Edgeを使おう (スコア:0)
Chromeを捨てよう
Re: (スコア:0)
冗談抜きにそれが最善だったりする
最近はまたブラウザごとの独自実装で面倒になってきたしもう一度シェアがフラットになった方がいいかもだし
Chromeも シェアを取ればかつての IE
Re: (スコア:0)
そこでsafariですよ!
あ、Apple製品にしかなかったですね...
Re: (スコア:0)
Windows版Safariはフェードアウトしちゃったからね…。
# 止めるのは構わないが開発終了告知を出せと
Re: (スコア:0)
Windows Phoneの悪口はやめろ
Re: (スコア:0)
Windows Phoneはセキュリティアップデート出てるから・・・。
Re: (スコア:0)
Safariの場合はセキュリティ穴だらけのまま撤退という情けない対応w
Re: (スコア:0)
Edgeは
IEであったように
https://answers.microsoft.com/ja-jp/edge/forum/edge_other-edge_win10/w... [microsoft.com]
日本語ファイルのダウンロードでファイル名が化けたりするので
去年、化けるという話が来て、幾つか試したところ
IE、FireFox、Chromeでは化けなかったのにEdgeのみ化け
Edge以外使ってくださいという対応しましたわ
RFC 6266 を無視するサイトが悪い (スコア:4, 参考になる)
Microsoft Edge 41.16299.15.0 で確認しましたが、RFC 2616 [ietf.org] に準拠した方法で filename* を指定(URLエンコード)すれば、日本語ファイル名の文字化けは発生しませんでした。
誤った指定方法:
正しい指定方法:
悪いのは、Edge ではなく Webアプリケーションの製作者です。
Re: (スコア:0)
RFC 2616には、filenameに非ASCII文字が含まれている場合の規定は見つけられなかったのですが。ていうかすでにRFC 7230~7235でobsoleteされてるし。いくら誰もリンク先見ないからって参照が適当すぎやしませんか。
Re:RFC 6266 を無視するサイトが悪い (スコア:1)
>RFC 2616には、filenameに非ASCII文字が含まれている場合の規定は見つけられなかったのですが。
RFC2616だろうが、7230だろうが、HTTPヘッダに許可されているのはISO-8859-1のみです。
>filenameに非ASCII文字が含まれている場合
許可されていない形式ですので、Webブラウザの実装依存でしょうね。
Re: (スコア:0)
リンク先、IE11でも化けないのにEdgeは化けるって言ってるように見えるんだが。ていうか一部の例外除いてサポート終了したバージョンの時代の話みたいだけど今でも文字化けするの? 当時のEdgeはガチで未完成品だったからなあ
Re: (スコア:0)
RFC 5987でエンコードしろや
http://tech.innovator.jp.net/entry/s3-content-disposition [jp.net]
こういうゴミクズを養成しているという点において確かにChromeは現代のIEになってるわ
Re: (スコア:0)
Microsoft曰く、Microsoft EdgeではWebKitと動作が異なる場合はバグ
Webkit ではなく Blink なので追従の必要はない、ということですね。
# WebGL のように仕様レベルでの脆弱性が発見された場合、きっと一時的に非互換を認めてセキュリティ強化側に振ってくれてると信じてます
Re: (スコア:0)
マルチプロファイル対応してくれたらちょっとはEdge使ってもいいんだけど…
ていうか (スコア:0)
msSaveOrOpenBlobサポートしてるのかよ。Chromeはゼロクリックでファイルがダウンロードされるという特徴があるのにちと安易すぎやしないか
Re: (スコア:0)
あれChromeだけの機能なのか。
だったら偽flashplayerぐらい自動的にフィルタして捨てるのもセットにしてくれよ…