サイバー犯罪者は、ブラウザーのプッシュ通知を利用してマルウェアやフィッシング攻撃を仕掛けています。
BlackFogの研究者は、Matrix Push C2と呼ばれる新しいコマンド&コントロールプラットフォームが、ブラウザーのプッシュ通知を使って潜在的な被害者にリーチする方法を説明しました。
私たちが2019年に警告したように、ブラウザーのプッシュ通知は悪用されるのを待っている機能であり、Notifications APIはウェブサイトやアプリがシステムレベルでページ外に通知を表示できるようにします。つまり、ウェブアプリはユーザーがアイドル状態やバックグラウンドで動作しているときでも情報を送信できるのです。
以下は、ブラウザーのプッシュ通知の一般的な例です:
これにより、ユーザーは通知がどこから来ているのか分かりにくくなります。この場合、通知を送っているのはブラウザーであり、ユーザーはほとんどのウェブサイトで見かける「通知許可プロンプト」に騙されて許可してしまいます。
しかし、悪意のあるプロンプトは正規のものほど単純ではありません。以前の記事で説明したように、攻撃者は「許可」をクリックしないと動画を見続けられないと偽る偽のビデオプレーヤーなど、欺瞞的なデザインを使用します。
実際には、「許可」をクリックすると、そのサイトに通知を送る権限を与えることになり、多くの場合さらに詐欺ページへリダイレクトされます。
間違ったウェブサイトでブラウザーのプッシュ通知を許可すると、攻撃者は偽のエラーメッセージやセキュリティ警告を送りつけることができ、非常に本物らしく見せることができます。これらはOSや信頼されたソフトウェアアプリケーションからの通知のように見せかけることができ、タイトルやレイアウト、アイコンも模倣できます。MetaMask、Netflix、Cloudflare、PayPal、TikTokなどの事前フォーマット済み通知も用意されています。
犯罪者は、メッセージを信頼できるものに見せたり、パニックを引き起こしたりする設定を調整できます。コマンド&コントロール(C2)パネルは、これらのプッシュ通知の表示方法を細かく制御する機能を攻撃者に提供します。
しかし、それだけではありません。研究者によると、このパネルは攻撃者に高度な監視機能も提供しています:
「Matrix Push C2の最も顕著な特徴の一つは、アクティブクライアントパネルであり、攻撃者に各被害者の詳細な情報をリアルタイムで提供します。ブラウザーが登録される(プッシュ通知の購読を許可する)とすぐに、データがC2に報告されます。」
これにより、攻撃者はどの通知が表示され、どの通知に被害者が反応したかを確認できます。全体として、どのキャンペーンがどのユーザーに最も効果的かを把握できるのです。
Matrix Push C2にはショートカットリンク管理機能もあり、攻撃者がキャンペーン用にカスタムリンクを作成できるURL短縮サービスが組み込まれています。これにより、ユーザーは本当の遷移先が分からないままクリックしてしまいます。
最終的な目的は、多くの場合データの窃取やアクセスの収益化、例えば暗号通貨ウォレットの資金を抜き取ったり、個人情報を盗んだりすることです。
不要な通知権限を見つけて削除する方法
ほとんどのブラウザーで使える一般的なヒント:プッシュ通知に歯車アイコンがある場合、それをクリックするとブラウザーの通知設定に移動し、送信元のサイトをブロックできます。それでも解決しない場合や、より詳細な制御が必要な場合は、以下のブラウザー別手順を確認してください。
Chrome
拡張機能からの通知も含め、通知を完全にオフにするには:
- Chromeメニュー右上の三点ボタンをクリックし、設定メニューに入ります。
- プライバシーとセキュリティを選択します。
- サイトの設定をクリックします。
- 通知を選択します。
- デフォルトではサイトは通知の送信を求めることができます。になっています。すべてブロックしたい場合はサイトに通知の送信を許可しないに変更してください。
より細かく制御したい場合はカスタマイズされた動作を使用してください。
- 削除を選択するとリストから削除されます。再度そのサイトを訪れると、通知の表示許可を求められます。
- ブロックを選択すると、許可プロンプト自体が完全にブロックリストに移動されます。
- また、下部の通知の許可を求める新しいリクエストをブロックするにチェックを入れることもできます。
同じメニューで、リスト内の各項目の後ろにあるドロップダウンメニューを使ってブロックまたは許可を設定できます。
Opera
Operaの設定はChromeと非常によく似ています:
- 左上のOをクリックしてメニューを開きます。
- Windowsの場合は設定、Macの場合は環境設定に進みます。
- 詳細設定をクリックし、プライバシーとセキュリティを選択します。
- デスクトップの場合はコンテンツ設定、Androidの場合はサイトの設定の下で通知を選択します。
デスクトップではOperaはChromeと同じ動作をします。Androidでは、個別または一括で項目を削除できます。
Edge
Edgeも基本的にChromeと同じです:
- Edgeを開き、右上の三点(…)をクリックして設定を選択します。
- 左側のメニューでプライバシー、検索、サービスをクリックします。
- サイトのアクセス許可 > すべてのアクセス許可の下で通知をクリックします。
- 静かな通知リクエストをオンにすると、すべての新しい通知リクエストがブロックされます。
- より細かく制御したい場合はカスタマイズされた動作を利用してください。
Safari
Safariでウェブプッシュ通知を無効にするには、メニューバーからSafari > 設定 > ウェブサイト > 通知に進み、リストからウェブサイトを選択して設定を拒否に変更します。今後すべてのリクエストを止めたい場合は、同じウィンドウでウェブサイトが通知の送信許可を求めることを許可のチェックを外してください。
Macユーザー向け
- Safari > 設定 > ウェブサイト > 通知に進みます。
- サイトを選択し、設定を拒否または削除に変更します。
- 今後すべてのプロンプトを止めるには、ウェブサイトが通知の送信許可を求めることを許可のチェックを外します。
iPhone/iPadユーザー向け
- 設定を開きます。
- 通知をタップします。
- アプリケーション通知までスクロールし、Safariを選択します。
- 許可されたサイトのリストが表示されます。
- 任意のサイトをオフに切り替えると、その通知がブロックされます。
