突然、パソコンのデスクトップに「マルウエア(コンピューターウイルス)に感染している!」といったセキュリティーの警告が表示される。セキュリティーソフトやWindowsの通知だと思ってユーザーが慌ててクリックすると、悪質なサイトに誘導される――。このような相談が相次いでいるとして、情報処理推進機構(IPA)は2021年3月に注意を呼びかけた。
この手口のポイントは、デスクトップに警告などが表示される点だ。Webブラウザー内に偽警告を表示するおなじみの手口(サポート詐欺など)を知っている人でも面食らうだろう。
しかも、Webブラウザーを一度終了させたりパソコンを再起動させたりしても、Webブラウザーを再度起動すると警告は再び表示される。このため本物の警告だと信じても不思議はない。
だが慌てる必要はない。「Web Push(Webプッシュ通知)」というWebの仕様(仕組み)が悪用されているだけで、パソコンに問題が発生しているわけではないからだ。この手口の全容と対策を、あえてだまされた実体験を基に解説しよう。
サーバーからプッシュで通知する新仕様
今回の手口で使われているWeb Pushとは、文字通りサーバーからクライアントに対してプッシュで情報を送る仕様である。2016年以降、関連技術の標準化文書(RFC)が順次公開されており、現在では主要なWebブラウザー全てが対応している。
Web Pushの流れは次の通り。WebサーバーはJavaScriptを使って、ユーザーに通知許可を求めるダイアログをWebページ中に表示する。ユーザーが許可すると、サーバー側からWebブラウザーに通知が送信されて表示されるようになる。
Web Pushの特徴は、JavaScriptを動作させるWebページを開いていなくてもユーザーに通知できるという点だ。
通知を許可したWebページから移動していても、許可したときのWebブラウザーが起動していれば、OSやネーティブアプリによる通知と同様にデスクトップ上に表示される。
