「〇〇〇（サイトのドメイン）が次の許可を求めています」というプッシュ通知を悪用した新しいサイバー攻撃の手法が増加

2024.08.18

情報セキュリティメーカーのデジタルアーツは、改ざんサイトを経由してプッシュ通知の許可を求めるポップアップを表示して、不審なプッシュ通知を送信する新たな攻撃手法を分析したセキュリティレポートを公開した。

本稿では同社リリースを元に、その概要をお伝えする。

便利なWebプッシュ通知を悪用

「Webプッシュ通知」とは、サイト側から訪問者に対しブラウザーを通じて通知を送信する機能のこと。

Webサイト訪問者が「〇〇（サイトのドメイン）が次の許可を求めています」といったポップアップ表示の要求を許可することで送信できる仕組み。プッシュ通知は、当該Webサイトを開かずに最新の情報を受け取ることができるなど便利な機能である一方で、これらを悪用した手口も存在する。

今回デジタルアーツが行なった独自調査によれば、正規のWebサイトを改ざん。不審なスクリプトを挿入することで偽のウイルス警告など、不審なプッシュ通知を送信するWebプッシュ通知を悪用した新たな手法が発見されたという。

海外政府の公式サイトが通知の許可を求めるポップアップ

この手法は、海外政府の公式サイトを閲覧した際に確認された。当サイトにアクセス後、通知の許可を求めるポップアップが表示され通知を許可したところ、海外政府と関係がないと思われる偽のウイルス警告やオンラインデートへの誘いなどの不審なプッシュ通知を受信。

さらにプッシュ通知をクリックすると、アプリ購入やアプリインストールなど様々なサイトに誘導された。

調査の結果、訪問者がアクセスした正規のWebサイトは改ざんされており、不審なプッシュ通知が送信される原因は、改ざんサイトに不審なスクリプトが挿入されていたことであると判明した。

海外政府の公式サイトからプッシュ通知が届くように

またWebプッシュ通知を悪用する目的は、プッシュ通知の表示数やクリック数、クリック後のアプリインストール数を増やし、広告収入を得ることであると考えられる。

さらに、正規のサイトを改ざんし悪用する要因は、信頼度が高いことや訪問者からプッシュ通知の許可を得やすいこと、プッシュ通知をクリックされやすいことなどが挙げられる。

調査を進めていくと、改ざんサイトにアクセスした際に読み込まれる外部サイトのドメインは「news」という文字列が含まれている特徴を捉え、2024年には、「news-(英字6～7桁).cc」や「news-(英字6～7桁).com」のようなパターンのドメインが多く観測された。

また、「news」ドメインからプッシュ通知を行なうといった特徴も確認できたという。

改ざんサイトに挿入されたJavaScript

「news」ドメインを利用したプッシュ通知例

この手法による被害を避けるためにも、明示的にプッシュ通知を行なっているという旨を述べていない限りプッシュ通知は許可しないよう、ブラウザーの通知表示を止める設定にしておくなどの対策が必要だろう。