【セキュリティレポート】「Webプッシュ通知」を悪用した新たな攻撃手法を発見
正規のWebサイトを乗っ取り、改ざんサイト経由で不審なプッシュ通知を送信

　情報セキュリティメーカーのデジタルアーツ株式会社（本社：東京都千代田区、代表取締役社長：道具　登志夫、以下 デジタルアーツ、証券コード2326）は、改ざんサイトを経由してプッシュ通知の許可を求めるポップアップを表示し、不審なプッシュ通知を送信する新たな攻撃手法を分析したセキュリティレポートを公開しました。

便利なWebプッシュ通知を悪用

　「Webプッシュ通知」とは、Webサイト側から訪問者に対しブラウザ-を通じて通知を送信する機能です。
これはWebサイト訪問者が「〇〇（サイトのドメイン）が次の許可を求めています」といったポップアップ表示の要求を
許可することで送信できる仕組みです。プッシュ通知は、当該のWebサイトを開かずに最新の情報を受け取ることができるなど
便利な機能である一方で、これらを悪用した手口も存在します。

　今回デジタルアーツが行った独自調査では、正規のWebサイトを改ざんし、不審なスクリプトを挿入することで偽の
ウイルス警告などの不審なプッシュ通知を送信するという、Webプッシュ通知を悪用した新たな手法を発見しました。

改ざんサイトへのアクセスをきっかけに、不審なプッシュ通知を受信

　

　当手法は、海外政府の公式サイトを閲覧した際に確認されました。当サイトにアクセス後、通知の許可を求めるポップアップが表示され通知を許可したところ、海外政府と関係がないと思われる偽のウイルス警告やオンラインデートへの誘いなどの不審なプッシュ通知を受信しました。さらにプッシュ通知をクリックするとアプリ購入やアプリインストールなど様々なサイトに誘導されました。

　本調査の結果、訪問者がアクセスした正規のWebサイトは改ざんされており、不審なプッシュ通知が送信される原因は、
改ざんサイトに不審なスクリプトが挿入されていたことであると判明しました。

　またWebプッシュ通知を悪用する目的は、プッシュ通知の表示数やクリック数、クリック後のアプリインストール数を
増やし、広告収入を得ることであると考えられます。さらに、正規のサイトを改ざんし悪用する要因は、信頼度が高いことや
訪問者からプッシュ通知の許可を得やすいこと、プッシュ通知をクリックされやすいことなどが挙げられます。

JavaScript内の外部サイトドメインとプッシュ通知を行うドメインに「news」の使用を確認
　調査を進めていくと、改ざんサイトにアクセスした際に読み込まれる外部サイトのドメインは「news」という文字列が含まれている特徴を捉え、2024年には、「news-(英字6～7桁).cc」や「news-(英字6～7桁).com」のようなパターンのドメインを多く
観測しました。また、「news」ドメインからプッシュ通知を行うといった特徴も確認しました。

　当手法による被害を避けるためにも、明示的にプッシュ通知を行っているという旨を述べていない限りプッシュ通知は
許可しないよう、ブラウザーの通知表示を止める設定にしておくなどの対策が必要でしょう。

詳細のセキュリティレポートはこちら
以下、弊社コーポレートサイト上にて公開しております。
詳細はこちらからご覧ください。
https://www.daj.jp/security_reports/40/

セキュリティレポートを解説するセミナーを9月5日(木)に開催
タイトル：「○○が次の許可を求めています」を悪用する手口に新たな手法
日時：9月5日(木)　15:00～15:40
お申し込み方法：お申込みフォームに必要事項をご入力ください。
参加費：無料

■参考情報
IPA 独立行政法人 情報処理推進機構
ブラウザの通知機能から不審サイトに誘導する手口に注意

■デジタルアーツの「i-FILTER」では
デジタルアーツでは日々様々な情報をもとにデータの収集を行っており、本稿のような攻撃に用いられるURLは「i-FILTER」のフィルターデータベースへと迅速に配信され、[違法ソフト・反社会行為][不確定サイト（※）] カテゴリにてブロックすることが可能です。
※[不確定サイト] カテゴリは、弊社でカテゴリ精査を行った結果、コンテンツや URL などの付随情報では利用用途が判断できない URL が含まれます。用途が判明した場合は別のカテゴリへと修正されます。

さらに、フィルターデータベースに反映されていない URL であっても「ホワイト運用」を行うことで、デジタルアーツが安全を確認した URL にのみアクセスを許可し未知の悪性 URL をブロックすることができます。