Windows版Google Chromeユーザーを主なターゲットにしたテクニカルサポート詐欺の手法 23
ストーリー by headless
詐欺 部門より
詐欺 部門より
Webブラウザーに偽の警告画面を表示して電話をかけさせるタイプのテクニカルサポート詐欺では、ユーザーの操作を困難にするためのさまざまな手法が用いられるが、Windows版のGoogle Chromeユーザーが主なターゲットとみられる新たな手法による攻撃をMalwarebytesが報告している(Malwarebytes Labsの記事、
Neowinの記事、
Ars Technicaの記事、
SlashGearの記事)。
この手法では、ウイルスに感染したのでISPがPCをブロックしたといった内容の警告とMicrosoftの偽の電話番号を表示するとともに、大量のファイルダウンロードを実行してCPU使用率を100%まで上昇させ、ウインドウやタブを閉じることができないようにする。ダウンロードするファイルは実体があるわけではなく、Blobオブジェクトを生成し、window.navigator.msSaveOrOpenBlobメソッドで保存するというものだ。これを繰り返すことで大量のファイルダウンロードが実行されることになる。
この手法では、ウイルスに感染したのでISPがPCをブロックしたといった内容の警告とMicrosoftの偽の電話番号を表示するとともに、大量のファイルダウンロードを実行してCPU使用率を100%まで上昇させ、ウインドウやタブを閉じることができないようにする。ダウンロードするファイルは実体があるわけではなく、Blobオブジェクトを生成し、window.navigator.msSaveOrOpenBlobメソッドで保存するというものだ。これを繰り返すことで大量のファイルダウンロードが実行されることになる。
攻撃は実際に行われているものであり、Chrome最新版のバージョン64.0.3282.140も影響を受ける。そのため、報告を受けたChromiumチームが対策を検討しているようだ。Chrome以外のブラウザーはUser Agent文字列別のランディングページが用意され、別のHTML APIによる手法が用いられているとのことだが、MalwarebytesはFirefoxとBraveも影響を受けることを確認し、それぞれ報告したとのこと。
なお、この手法ではベンダー接頭辞「ms」のついたメソッドが使われているが、MalwarebytesがUser Agent文字列をChromeのものに変更したInternet ExplorerやMicrosoft Edgeで試したみたところ、ウインドウを閉じることは可能だったという。JavaScriptコードの関数名(ch_jam、bomb_ch)に「ch」が付けられているところからみても、Chromeユーザーを念頭に置いた手法と考えられるとのことだ。
このような攻撃は主に不正広告経由で行われるため、Malwarebytesでは効果的な緩和策として広告ブロックソフトウェアの使用を挙げている。
よし、Edgeを使おう (スコア:0)
Chromeを捨てよう
Re:よし、Edgeを使おう (スコア:2, 興味深い)
冗談抜きにそれが最善だったりする
最近はまたブラウザごとの独自実装で面倒になってきたしもう一度シェアがフラットになった方がいいかもだし
Chromeも シェアを取ればかつての IE
Re: (スコア:0)
そこでsafariですよ!
あ、Apple製品にしかなかったですね...
Re: (スコア:0)
Windows版Safariはフェードアウトしちゃったからね…。
# 止めるのは構わないが開発終了告知を出せと
Re: (スコア:0)
Windows Phoneの悪口はやめろ
Re: (スコア:0)
Windows Phoneはセキュリティアップデート出てるから・・・。
Re: (スコア:0)
Safariの場合はセキュリティ穴だらけのまま撤退という情けない対応w
Re: (スコア:0)
Edgeは
IEであったように
https://answers.microsoft.com/ja-jp/edge/forum/edge_other-edge_win10/w... [microsoft.com]
日本語ファイルのダウンロードでファイル名が化けたりするので
去年、化けるという話が来て、幾つか試したところ
IE、FireFox、Chromeでは化けなかったのにEdgeのみ化け
Edge以外使ってくださいという対応しましたわ
RFC 6266 を無視するサイトが悪い (スコア:4, 興味深い)
Microsoft Edge 41.16299.15.0 で確認しましたが、RFC 2616 [ietf.org] に準拠した方法で filename* を指定(URLエンコード)すれば、日本語ファイル名の文字化けは発生しませんでした。
誤った指定方法:
正しい指定方法:
悪いのは、Edge ではなく Webアプリケーションの製作者です。
Re:RFC 6266 を無視するサイトが悪い (スコア:1)
RFC 2616には、filenameに非ASCII文字が含まれている場合の規定は見つけられなかったのですが。ていうかすでにRFC 7230~7235でobsoleteされてるし。いくら誰もリンク先見ないからって参照が適当すぎやしませんか。
Re:RFC 6266 を無視するサイトが悪い (スコア:2)
#3360309 [srad.jp] のコメント内容を再確認したところ、タイトルの「RFC 6266 を無視するサイトが悪い」とアンカーのリンク先は「RFC 6266」で意図した通りでしたが、アンカーテキストのみ「RFC 2616」と誤表記してしまったようでした。正しくはアンカーテキストも「RFC 6266」とすべきでした。お詫び申し上げます。
RFC 6266 - 6.Internationalization Considerations [ietf.org] では、下記の通り、"filename*" パラメータには RFC5987 で定められたエンコーディングを使用することができ ISO-8859-1 以外のキャラクターセットが使用可能とされています。
RFC 6266 (June 2011) の目的は、RFC 2616 (June 1999) の Content-Disposition を国際化するためのものであり、仰る通りもととなる RFC 2616 は既に obsolete されています。
しかし、改訂版 HTTP/1.1 の RFC の一部である RFC 7231 (June 2014) - Appendix B. Changes from RFC 2616 [ietf.org] において、Content-Disposition ヘッダーについての定義は RFC 2616 → RFC 7231 の過程で RFC 7231 からは除去され、今は RFC 6266 で定義されているとあるので、今も RFC 6266 は有効だと思われます。
下記は、RFC 7231 [ietf.org] からの引用です(太字強調は引用者)。
Re: (スコア:0)
RFC 2616はobsoleteでもRFC6266は新HTTP1.1から参照してるのかよ。IETFは依存関係バージョン管理無で新番号乱立しすぎやしないか
Re:RFC 6266 を無視するサイトが悪い (スコア:1)
>RFC 2616には、filenameに非ASCII文字が含まれている場合の規定は見つけられなかったのですが。
RFC2616だろうが、7230だろうが、HTTPヘッダに許可されているのはISO-8859-1のみです。
>filenameに非ASCII文字が含まれている場合
許可されていない形式ですので、Webブラウザの実装依存でしょうね。
Re:RFC 6266 を無視するサイトが悪い (スコア:1)
確かにそのままでは UTF-8 などの文字は使用できませんが、RFC 7231 - 8.3.1. Considerations for New Header Fields [ietf.org] には、
とあるので、US-ASCII 以外のキャラクターを使用する必要がある場合には、RFC 5987 で定められた符号化方式が使えるはずです。
また、RFC 6266 において、「filename」と「filename*」は別のパラメータで、「filename*」のみエンコードした UTF-8 が使用できます。
Re:よし、Edgeを使おう (スコア:2, 興味深い)
RFC 5987でエンコードしろや
http://tech.innovator.jp.net/entry/s3-content-disposition [jp.net]
こういうゴミクズを養成しているという点において確かにChromeは現代のIEになってるわ
Edge最強確定やな (スコア:1)
普通に考えりゃRFC6266は "Updates: 2616" やからRFC2616と連鎖で無効なはずだが
RFC7231に now defined by [RFC6266] てあるならまだRFC6266は有効なのか
ほんと紛らわしいわ
旧HTTP1.1 = RFC2616
↑ ↑補足 (Updates: 2616)
↑obsolete RFC6266 →→→→→→呼び出し→→→→→RFC5987
↑ ↑RFC7231 Appendix B ↑RFC7231 8.3.1で呼び出し
新HTTP1.1 = RFC7230~7235→→→→→→→→→→→→→→
ならばPrintable vs ACの対決は結局両者とも大筋の内容は正しいってことで終着か
ChromeはWinXP時代でゆうIE、RFC重視のEdgeはWinXP時代でゆうWEB標準重視の古き良きFireFoxやな
Re: (スコア:0)
普通に考えりゃRFC6266は "Updates: 2616" やからRFC2616と連鎖で無効なはずだが
違ったんならそれは普通じゃないんだろう
Re: (スコア:0)
リンク先、IE11でも化けないのにEdgeは化けるって言ってるように見えるんだが。ていうか一部の例外除いてサポート終了したバージョンの時代の話みたいだけど今でも文字化けするの? 当時のEdgeはガチで未完成品だったからなあ
Re: (スコア:0)
結局こいつが馬鹿だったという話か
Re: (スコア:0)
Microsoft曰く、Microsoft EdgeではWebKitと動作が異なる場合はバグ
Webkit ではなく Blink なので追従の必要はない、ということですね。
# WebGL のように仕様レベルでの脆弱性が発見された場合、きっと一時的に非互換を認めてセキュリティ強化側に振ってくれてると信じてます
Re: (スコア:0)
マルチプロファイル対応してくれたらちょっとはEdge使ってもいいんだけど…
ていうか (スコア:0)
msSaveOrOpenBlobサポートしてるのかよ。Chromeはゼロクリックでファイルがダウンロードされるという特徴があるのにちと安易すぎやしないか
Re: (スコア:0)
あれChromeだけの機能なのか。
だったら偽flashplayerぐらい自動的にフィルタして捨てるのもセットにしてくれよ…