Microsoftは1月27日(米国時間)、「Stand up to scareware with scareware blocker, now available in preview in Microsoft Edge - Microsoft Edge Blog」において、スケアウェア詐欺(別名:テクニカルサポート詐欺)を防止する新機能「スケアウェアブロッカー」の導入およびテストを開始したと発表した。

すでに最新のMicrosoft Edgeに標準機能として搭載されており、設定から機能を有効化することでテストに参加することができる。

  • Stand up to scareware with scareware blocker、now available in preview in Microsoft Edge - Microsoft Edge Blog

    Stand up to scareware with scareware blocker, now available in preview in Microsoft Edge - Microsoft Edge Blog

スケアウェアブロッカーの概要

スケアウェア詐欺は古くから存在する詐欺手法だ。悪意あるWebサイトの訪問者に緊急の不具合やマルウェアの感染を通知し、ユーザーを恐怖させることで正常な判断能力を奪い、偽のサポート窓口に連絡させる。偽のサポート担当者は、遠隔から支援するとしてクイックアシスト(旧称:リモートアシスタンス)による接続を要求し、被害者のコンピュータを乗っ取り、サイバー攻撃や不正請求などを行う。

この詐欺は長年問題となっており、MicrosoftもSmartScreenを導入するなどして被害軽減に努めていた。しかしながら、SmartScreenは既知の詐欺を防止できるが未知の詐欺を防止できず、完全な防御手段とは言えなかった。

そこで、MicrosoftはAI(Artificial Intelligence)の助けを借りて、未知のスケアウェア詐欺を防止する「スケアウェアブロッカー」を開発した。スケアウェアブロッカーはローカルで実行される機械学習モデルを使用して詐欺を検出する。

  • スケアウェアブロッカーの仕組み - 引用:Microsoft

    スケアウェアブロッカーの仕組み 引用:Microsoft

スケアウェアブロッカーが詐欺を検出すると、Edgeは次の動作を実行する。

  • フルスクリーンを解除する(スケアウェア詐欺ではユーザー操作を妨害するためにWebブラウザのフルスクリーン表示を悪用する)
  • 恐怖を煽るオーディオ再生を停止する
  • 詐欺の可能性について警告表示する
  • 詐欺ページのサムネイルを表示して、ユーザーの正常な判断能力を回復させる
  • スケアウェアブロッカーの警告画面 - 引用:Microsoft

    スケアウェアブロッカーの警告画面 引用:Microsoft

スケアウェアブロッカーの警告画面には、「Continue(続ける)」と「Close page(ページを閉じる)」の2つのボタンが表示される。「Continue(続ける)」は誤検知だったことをMicrosoftに通知し、「Close page(ページを閉じる)」は正しく検知できたことを通知する。

これらボタンの動作について詳細な解説はないが、「Continue(続ける)」をクリックすると誤検知の通知に加え、スクリーンショットや診断結果をMicrosoftに送信するものとみられる。Microsoftは正しく報告することで信頼性を高められるとしており、共有されたデータは機械学習に利用される可能性がある。

Microsoftとの情報共有を望まない場合は、これらボタンをクリックせずにWebブラウザを閉じることができる。

設定手順

スケアウェアブロッカーは最新のWindows向けMicrosoft Edgeにすでに導入されており、設定画面の「プライバシー、検索、サービス」→「セキュリティ」→「スケアウェア ブロック(プレビュー)」から有効化することで利用できる。

ただし、管理者がプレビュー機能を許可していない場合は利用することができない。許可を得られた場合は一度Edgeを再起動してから設定することが推奨されている。

  • スケアウェアブロッカーの設定画面

    スケアウェアブロッカーの設定画面

Microsoftはスケアウェアブロッカーを利用してもすべての詐欺を検出できるわけではないとしている。しかしながら、ユーザーからのフィードバックに加え、強化も続けるとしており、利用者の増加に伴い徐々に検出精度は向上していくものとみられる。