2025年6月18日、Malwarebytes Labsの研究者Pieter ArnttzとJérôme Seguraが新しいテクニカルサポート詐欺手法を報告した。詐欺師はGoogleのスポンサー広告を購入し、Apple、Bank of America、Facebook、HP、Microsoft、Netflix、PayPalなどの大手ブランドを装う。
従来の偽サイト誘導と異なり、被害者を正規のサポートサイトに誘導するが、URLパラメータに偽の電話番号を埋め込む検索パラメータインジェクション攻撃を実行する。
ブラウザのアドレスバーには正規サイトのURLが表示されるため、ユーザーは疑いを持たない。
偽の電話番号に連絡した被害者は、ブランドのサポートを装う詐欺師から個人情報、カード情報、デバイスへのリモートアクセス権限を要求される。
この手法は正規サイトの検索機能が入力値を適切に検証せずに反映する脆弱性を悪用している。
From:
Scammers Spread False Support Info Using Legitimate Websites
【編集部解説】
今回報告された「検索パラメータインジェクション攻撃」は、従来のフィッシング詐欺とは根本的に異なる手法を採用している点で注目に値します。これまでの詐欺師は偽のウェブサイトを作成する必要がありましたが、この新手法では正規サイトの脆弱性を巧妙に悪用しています。
技術的な仕組みを詳しく説明すると、攻撃者はURLの検索クエリパラメータに偽の電話番号を埋め込み、ウェブサイトの検索機能がその入力値を適切に検証せずに画面に反映させる脆弱性を突いています。Netflixの例では、サイトの検索機能が「ユーザーが検索クエリパラメータに入力した内容を適切なサニタイゼーションや検証なしに盲目的に反映する」ため、この弱点が悪用されています。
この攻撃手法が特に危険な理由は、ユーザーの信頼を獲得する要素が複数重なっていることにあります。ブラウザのアドレスバーには正規のドメインが表示され、サイトのデザインも本物そのものであるため、一般的なセキュリティ意識では見抜くことが困難です。
Appleのサイトでは、詐欺師の電話番号が「検索結果が見つかりません」というメッセージ内に巧妙に挿入され、ユーザーに表示された番号への連絡を促すという特に巧妙な手口が確認されています。
企業側への影響も深刻で、ブランドの信頼性に直接的な損害を与える可能性があります。特にBank of AmericaやPayPalなどの金融機関が標的となった場合、詐欺師は被害者の金融アカウントへのアクセスを狙い、資金を盗み取ろうとします。
この事案は、ウェブアプリケーションのセキュリティ設計における根本的な課題を浮き彫りにしています。多くの企業が外部からの入力値検証を軽視しがちですが、今回の事例は「信頼できない入力は存在しない」という原則の重要性を改めて示しました。
長期的な視点では、この攻撃手法の拡散により、企業のウェブセキュリティ対策の見直しが加速する可能性があります。特に、Content Security Policy(CSP)の強化や、入力値検証の自動化ツールの導入が進むでしょう。
【用語解説】
検索パラメータインジェクション攻撃
URLの検索クエリパラメータに悪意のあるデータを埋め込み、ウェブサイトの検索機能がその入力値を適切に検証せずに画面に反映させる脆弱性を悪用する攻撃手法である。
リフレクテッド入力脆弱性
ウェブアプリケーションが外部からの入力値を適切にサニタイゼーション(無害化処理)せずに、そのまま画面に反映してしまう脆弱性のこと。
スポンサー広告
検索エンジンで検索結果の上部や横に表示される有料広告のこと。広告主が特定のキーワードに対して料金を支払い、検索結果に優先的に表示される。
フィッシング
偽のウェブサイトやメールを使用して、ユーザーから個人情報、パスワード、クレジットカード情報などの機密データを不正に取得する詐欺手法である。
Content Security Policy(CSP)
ウェブサイトのセキュリティを強化するためのHTTPヘッダーで、ブラウザに対してどのリソースの読み込みを許可するかを指定する仕組みである。
【参考リンク】
Malwarebytes(外部)
マルウェア対策、アンチウイルス、プライバシー保護、詐欺防止ソフトウェアを提供するセキュリティ企業。今回の攻撃手法を発見・報告した。
Apple サポート(外部)
Apple製品の公式サポートページ。各地域の正規サポート番号を確認できる公式窓口である。
Netflix ヘルプセンター(外部)
Netflixの公式ヘルプページ。今回の攻撃で標的となった企業の一つで、検索機能の脆弱性が悪用された。
PayPal ヘルプセンター(外部)
PayPalの公式サポートページ。金融サービス企業として、詐欺師が特に狙う標的の一つとなっている。
【参考記事】
Scammers hijack websites of Bank of America, Netflix, Microsoft, and more to insert fake phone number(外部)
Malwarebytesの研究者が発見した新しい詐欺手法について詳細に解説。検索パラメータインジェクション攻撃の技術的な仕組みと、Netflix、PayPal、Apple、Microsoft、Facebook、Bank of America、HPでの具体的な攻撃例を紹介している。
Scammers Insert Fake Support Numbers on Real Apple, Netflix, PayPal(外部)
HackReadによる報告記事。検索パラメータインジェクション攻撃の具体的な動作原理と、各企業サイトでの攻撃例を詳しく説明している。
44% of people encounter a mobile scam every single day, Malwarebytes finds(外部)
Malwarebytesの調査によると、44%の人が毎日モバイル詐欺に遭遇し、78%が少なくとも週1回は詐欺に遭遇している実態を報告。
5 riskiest places to get scammed online(外部)
オンライン詐欺に遭いやすい5つの場所について解説。フィッシング、郵便詐欺、なりすまし詐欺などの手口と対策を詳しく説明している。
【編集部後記】
この新しい詐欺手法は、私たちが日常的に信頼している「正規サイトのURL」という安心感を逆手に取った巧妙なものです。
皆さんは企業のサポートを検索する際、どのような点を確認していますか?アドレスバーだけでなく、表示されている電話番号の真偽を見極める方法について、ぜひ一緒に考えてみませんか。
このような技術の悪用事例を知ることで、私たち自身のデジタルリテラシーを高めるきっかけになるかもしれません。
