声が出るセキュリティ詐欺広告に注意

ポップアップ広告が開かれると、次の文章が表示されます。

お使いのPCが遅い実行しているか、不要な広告を表示していますか？
Microsoftソフトウェアの専門家を呼び出し無料の診断スキャンを行いあなたのシステムをきれいに最適しましょう。

これと同時（Firefox、Internet Explorer）、もしくは、これを閉じた際（Chrome）に、次の音声が流れます。

警告
あなたのコンピューターでウイルスが検出されました。
ただちに提供された番号に電話していただくと、 あなたのコンピュータ上のアドウェア・スパイウェア・ウイルス除去のためにガイドされます。
このメッセージが表示されたということは、あなたの個人情報・写真・パスワードやクレジットカード情報が危険にさらされているということです。
提供された電話番号に連絡していただけるまでは、インターネットの使用、ウェブサイトにログインすることや、オンライン上での商品の購入は、なさらないでください。

女性の声で、かなり自然なアナウンスです（機械音声や、ぎこちない日本語ではありません）。

この音声は、まさに突然流れ始めるため、「警告、あなたのコンピューターでウイルスが検出されました」に驚いてしまう人も多いかと思います（iPhoneのSafariでは、同ページにアクセスしても音声は再生されない）。

音楽ならまだしも、いきなりアナウンスが聞こえるWebページ、というのはかなり珍しいですし。

Webページには、次の印象的な文字が並んでいます。

PCサポート マイクロソフトのソフトウェアの専門家
フリーダイヤル今すぐお電話ください： 03-4540-2287

ウイルス除去 マルウェアサポート

問題:
お使いのコンピュータが遅く、応答しない、表示エラーとなっている、またはその他の問題が発生し始めています。 これらの問題は、多くの場合、ウイルス、マルウェア、またはシステムの不適切な保守によって引き起こされます。

症状:
マルウェアやウイルスは、プログラムのロックアップやクラッシュ、不要なポップアップや広告、遅いPCのパフォーマンスを引き起こす可能性があります。

ソリューション:
お使いのPCがマルウェアやその他の問題を経験しに感染していないされていることを確認するために、 それを強くお勧めします。

※電話番号は 「03-4540-2287」 「03-4540-2885」 「03-4540-9815」 「03-4540-9872」 「03-4577-4645」 「03-4578-0694」 「03-4578-2314」 「03-4578-7998」 「03-4578-7665」 「03-4578-7692」 「03-4578-1602」 「03-4578-7692」 「03-4589-1524」 「03-4589-4913」 「03-4589-5041」 「03-4589-5335」 「03-4589-5656」 などさまざまです。一部調べてみると、架空請求に使用されている電話番号だったりするみたいです。

音声はかなり完璧なのですが、日本語がかなり弱いことになっています（冒頭のダイアログがピークだが）。

また、基本的に電話番号に誘導することになっています。

Matt Folson - マイクロソフト　ソフトウェアエキスパート
サポートチャット

Matt オフラインになっています。
Matt マットは今オフラインです。 電話にてお問い合わせください。

さすがに、電話をかけてみることはしませんが、このページを見た人で、まだ電話をかけていないとしたら、電話をかける必要はありません。

ウイルスが検出された、という嘘をついて不安にさせるタイプのよくある詐欺広告なので。

よくある、コメント欄がばっちりあります。

たとえば、以下の様なコメントが表示されます。

TimVito99 - トピック：サポート
おかげで、これは完全に働きました！

TheDarth - トピック：サポート
私は削除する方法につい、どこにでも探していると最終的にこの会社を見つけた後にできました

SallyB - トピック：サポート
あー！今、私のコンピュータがスムーズに再び実行されています。

ちなみに、「コメントを残してくだい」（「くだ『さ』い」ではないのがポイント；）という部分があるのですが、「*コメントは終了いたしました」となっており、コメントの追加はできません（当然）。

このページの実装について。

音声の自動再生

音声の自動再生は、HTML5 の audio タグを利用しており、その音声自体は、AWS の Amazon S3 から配信されています。

 <audio src="http://s3-ap-northeast-1.amazonaws.com/ts-jp/jpwarning.mp3" autoplay>
 <p>Your browser does not support the <code>audio</code> element.</p>
 </audio>

window.NREUM

HTML冒頭に、「window.NREUM||(NREUM={}),__nr_require=function(e,n,t)～」で始まるJavaScriptが登場していて、謎だったのですが、調べてみると、New Relic Browser という、ブラウザでのパフォーマンス測定サービス用のコードのようでした。

• I captured this NREUM thingy and don't know what it does

使われていないメッセージ

表示されない（対応するクラスのタグがない）メッセージとして、以下のものがありました。

注意：あなたのコンピュータでウイルスが見つかりました！
%phone%に電話し、危険なウイルスを削除し大事な情報を保護しましょう。サポート関係者に繋がるまで、コンピュータやインターネットを使用しないでください。
%phone%に今すぐお電話ください。

%phone%に電話し、危険なウイルスを削除し大事な情報を保護しましょう。サポート関係者に繋がるまで、コンピュータやインターネットを使用しないでください。

ちなみに、ページ内部には「%phone%」が複数箇所埋め込まれており、それをJavaScriptで置換（replaceか、クラス指定で.html上書き）しています。

この動作がたまにうまく動作せず、電話番号が「%phone%」のまま表示されます。

電話番号の取得

そんなことがどうして起こるのかと見ていると、電話番号を「Callpixels」というクラスをnewして取得していることが分かりました。

cloudfront.netから配られているcallpixels.min.jsについて調べてみると、Retrieverというサービスを使用して、電話番号を配布していることがわかりました。Google AdWordsも使っているようです。

• https://retreaver.com/

手が込んでるなぁ、感あります。

で、どういうサービスなのかを見てみると、ざっくり見ると、ユーザーの状況に合わせて、適切な電話番号を配信するサービスのようでした。面白い。

CallPixels Results is a new API that facilitates the display of individual trackable phone numbers for each target on a campaign. （引用元）

ここでちょっと注目したい思ったのが、Webサイトはものすごく日本語を知らない感じがするのに、電話番号を表示して、日本の電話番号に誘導する、しかもそれを電話番号配信APIを使って、という点。

もしかすると、Webサイト製作者と、電話番号の持ち主とが全く別で、電話番号はAPI配信で、電話番号の持ち主が生み出した利益がWebサイト製作者に還元されるような仕組みになっているのかもしれません。