Macに、マカフィーのウイルス対策ソフトのサブスクリプションが終了した、iCloudがハッキングされている、誰かがあなたの銀行口座にアクセスしようとしているといった通知が表示されたことはありますか? 通知を使ってあなたを騙そうとするこれらの行為は、紛れもなくマルウェア、つまりアドウェアと呼ばれるものです。これらの警告は、メールを使ったフィッシング詐欺と同様に、ユーザーを偽のウェブサイトに誘導し、ログイン情報やクレジットカード情報を入力させて個人情報を盗もうとします。Malwarebytes、DetectX Swift、VirusBarrierなどのマルウェア対策アプリを実行して通知を消そうとしても、うまくいきません。一体何が起こっているのでしょうか?
MacAttorneyユーザーグループを運営し、Macに関する役立つアドバイスを掲載した様々なページを公開しているRandy Singer氏から、先日、悪質な通知に関する警告が寄せられました。Webプッシュ通知のこのような悪用は長年存在していましたが、私のMacでは一度も見たことがありません。Randy氏の警告と、数日後に読者のDavid Roessler氏から同様の記事を勧められたことから、この問題について言及する時期が来たと判断しました。
通常のマルウェアとは異なり、通知アドウェアは感染を必要としないので、アンチマルウェアソフトウェアは発見したり削除したりするものは何もありません。その代わりに、通知アドウェアはウェブブラウザの機能を悪用して、ウェブサイトがネイティブアプリケーションと同じようにシステムレベルの通知を表示できるようにします。もちろん、わざわざアドウェアの通知を受け取るように登録する人はいませんが、ウェブサイトはユーザーに通知を受け取るかどうか尋ねることができますし、実際にそうするケースも増えています。ウェブサイトが通知を提供すること自体には何ら問題はありません。数ある例の一つとして、私たちが TidBITS Talk で使っている Discourse ソフトウェアは、新しいメッセージや返信があったときに通知を受け取りたい人のために通知機能を提供しています。しかし、善意から生まれた多くのテクノロジーと同様、ウェブ通知も悪用される可能性があります。
問題の一つは、Safariの許可ダイアログが表示されたときに通知の受信に同意するには、Returnキーを押して「許可」オプションを受け入れるだけで済むことです。ウェブサイト側は、Safariのダイアログが表示される前に独自のダイアログを表示することで、ユーザーを安心させようとします。通知が許可されると、macOSから送信されているというお墨付きが付くため、より信憑性が高く感じられます。
もちろん、もしあなたが注意深く、十分な技術的知識を持っているなら(ほとんどのTidBITS読者がそうであるように)、ウェブサイトが通知の許可を求めてきたら、単に「許可しない」をクリックするだけでいい。私はほとんどの場合そうしている。サイトに通知の表示を許可したのはほんの一握りのケースだけだ。
通知を絶対に受け取りたくない、あるいは同意する内容を理解していない可能性のある人をサポートしている場合、Safariには通知の許可を求められないようにする簡単な方法があります。Safari > 設定 > ウェブサイト > 通知 に移動し、一番下にある「ウェブサイトが通知の送信許可を求めることを許可」のチェックを外してください。
他のウェブブラウザも、悪質な通知を表示するように改ざんされる可能性があり、それらも同様に、通知を一切表示しないようにすることができます。インターフェースはブラウザによって多少異なりますが、ほとんどはGoogle Chromeに似ています(下図参照)。
- Arc: [Arc] > [設定] > [一般] > [通知] の順に選択し、[サイトからの通知の送信を許可しない] を選択します。
- Brave:「Brave」>「設定」>「プライバシーとセキュリティ」>「サイトとシールドの設定」>「通知」に移動し、「サイトに通知の送信を許可しない」を選択します。
- Firefox: Firefox > 設定 > プライバシーとセキュリティ > 通知に移動し、「通知の許可を求める新しいリクエストをブロックする」を選択します。
- Google Chrome: Chrome > 設定 > プライバシーとセキュリティ > サイトの設定 > 通知に移動し、「サイトに通知の送信を許可しない」を選択します。
- Microsoft Edge: Microsoft Edge > 設定 > Cookie とサイトの権限 > 通知の順に選択し、「送信前に確認する」をオフにします。
理論上、ChromeはSafariよりもフィッシング通知の影響を受けにくいはずです。おそらく、他のChrome派生ブラウザ(Firefoxを除くリストにあるすべてのブラウザ)も同様です。2020年、Googleは「静かなメッセージ」という上記の真ん中のオプションを導入しました。これは、許可ダイアログをアドレスバーのサイト名の横にベルアイコンに置き換え、クリックすると通知を許可するというものです。2020年のその後のアップデートでは、Googleは悪質な通知を表示するウェブサイトを特定し、許可リクエストでそれらに言及するようになりました。「理論上」と書いたのは、Appleコンサルタントのアダム・ライス氏が、Chromeではスパム的な通知がほとんどだと私に話してくれたからです。
「ウェブサイトが通知を送信する許可を求めることを許可する」を無効にすると、新しいサイトからの通知スパムを防ぐことができます。しかし、既に許可を得ているサイトはどうでしょうか?Safariでも簡単に通知をブロックできます。通知画面でサイト名の右側にあるポップアップメニューに「許可」と表示されているサイトがある場合は、そのメニューから「拒否」を選択してください。Firefoxのインターフェースも同様です。サイトを削除しないでください。他の設定によっては、サイトが再度許可を求める可能性があるためです。
Chromeベースのブラウザでは、ブロックされたサイトと許可されたサイトが区別されます。通知を受け取りたくないウェブサイトをブロックするには、右側のボタンをクリックして「ブロック」を選択してください。
最後に、ご自身やご家族がこれらの通知に悩まされている場合は、アクセスしているウェブサイトについて検討してみてください。ユーザーを騙して通知を許可させ、フィッシング通知を表示しようとするウェブサイトは悪意のあるウェブサイトです。少なくとも、フィッシング行為に加担する第三者要素を組み込むことで、訪問者が標的とされることを助長している可能性があります。理想的には、そのようなウェブサイトは避けるべきです。
そんなに簡単ではないかもしれません。2020年、セキュリティジャーナリストのブライアン・クレブス氏は、ウェブサイト運営者がトラフィックを収益化できると謳う「PushWelcome」というサービスについて記事を書きました。このサービスは、ウェブサイト運営者に対し、正規のウェブサイトでしばしば欺瞞的な通知リクエストを生成する小さなスクリプトを組み込むよう求めていました。PushWelcomeは現在は廃止されているようですが、同様の広告ネットワークは他にもまだ存在する可能性があります。
「怪しいウェブサイトには行かないで」と言う方が、そのサイトがなぜ問題なのかを説明するよりも簡単だと気づきました。しかしながら、あなた自身、あるいはあなたが支援している人が、ウェブサイトの正当性やウェブサイト所有者のセキュリティ対策(ハッカーによるサイトの改ざんやPushWelcomeのような広告ネットワークによる欺瞞からサイトを守るための対策)に少しでも疑問を抱いている場合は、通知の表示や個人情報の収集を任せるのは避けた方が良いかもしれません。
スパム通知を押し付けてくるサイトに遭遇した場合は、Googleセーフブラウジングに報告してください。Googleセーフブラウジングは、問題のあるサイトについてユーザーに警告を発しています。現在、週に300万件以上の警告が出されていますが、2016年半ばには週に5000万件以上の警告が出ていたことを考えると、かなり多いように思えます。
Web 上で安全を確保するには、注意深く閲覧し、意図を持ってクリックしてください。