01 / 14

技術ではなく「設計思想」の話

サポート詐欺から考えた
「設計思想」

ある日、親のPCで起きたこと。
—— これ、ぜんぶ Web技術の話です。

02 / 14

事実

何が起きた？

地図を検索しただけ

突然、Windows Defender を名乗る警告が全画面で表示

「閉じられない」感覚に陥る

電話番号が表示される → 電話すると外国人が対応

「修理にはお金がかかる」と案内される

「払わない」と伝えたら、電話は終了

結果：実害ゼロ　支払いなし・遠隔操作なし・個人情報入力なし

03 / 14

証拠

これが、実際の画面

サポート詐欺の偽警告画面。Microsoft Support を装った背景の上に、偽の Windows Defender セキュリティセンターのモーダルが表示され、マルウェア検出の警告と電話番号が画面の複数箇所に表示されている。 — 親のPCの画面を、スマホで撮影したもの。

偽の「Windows Defender セキュリティセンター」モーダル

同じ電話番号を3〜4箇所に連打し「今すぐ電話」と急かす

「盗まれる情報リスト」で恐怖を具体化

これ、全部ただの Webページ

04 / 14

正直な感想

「ウイルスに
感染した！？」

正直、そう思いました。
でも、調べてみると——

どう対応したか

じゃあ、どうやって
抜け出したのか

Alt+Tab

切り替えできない

✗

Alt+F4

ウィンドウを閉じられない

✗

Ctrl+Alt+Delete

タスクマネージャーが開けた

✓

タスクマネージャーで見ると——ブラウザのCPU使用率が100%。
ブラウザのタスクを終了したら、あっさり解決。

OSは無事。暴れていたのは「ブラウザ」だけだった。

05 / 14

種明かし

攻撃されていたのは、
PCではなかった。

¥0

支払い

0件

個人情報の入力

0回

遠隔操作

ファイルもOSも、何ひとつ壊れていない。実害はゼロでした。

06 / 14

見え方と正体

見えていたものと、その実体

見えていたもの

Windows Defender
警告 / 危険
アクセス遮断

実際の正体

HTML
CSS
JavaScript

つまり「感染したように“見える”UI」を作っていただけ。

07 / 14

気づき ①

ウイルスではなく
「ブラウザを暴走させた」だけ

一行も感染していない。ブラウザの“正規機能”を悪用して、「閉じられない・感染した」と見せていただけ。

🖥️

フルスクリーンAPI

画面を全画面でロックする

🚫

離脱警告の連打

閉じようとすると警告で止める

🔊

警告音のループ

音で焦らせる

これ全部、私たちが学んでいる、普通のWeb機能。特別なハッキング技術なんて、使われていません。

08 / 14

気づき ②

技術は同じ。違うのは「設計思想」

同じ技術でも、何のために使うかで真逆になる。

フルスクリーン

良い没入感を生む

今回逃げられないと思わせる

モーダル

良い確認を促す

今回恐怖を与える

通知音

良いお知らせ

今回焦らせる

エラー

良い原因を説明する

今回恐怖だけを伝える

UI

良い判断を助ける

今回判断を奪う

09 / 14

本質

攻撃対象は、PCではなく
人間だった

「ハッキングする」ではなく
「ハッキングされた、と“思わせる”」

つまり狙われていたのは、PCではなく 人間の心理（恐怖・焦り）。

10 / 14

気づき ③

いちばん“脆い”のは、人間

ソフトのセキュリティは年々固くなる。でも人間の恐怖・焦りは、昔から変わらず脆いまま。

🔒

システム
（年々強固に）

—

🧠

人間の心理
（最弱の輪）

だから攻撃者は「技術の穴」ではなく「心理の穴」を狙う。
セキュリティを突破するより、人を慌てさせるほうが速いから。

11 / 14

開発者として

普段は“正常系”を作る。
でも今回は——

普段つくるのは、こういう「うまくいった」状態。

保存成功ログイン成功予約完了

でも今回見たのは、「異常だ」と思わせる表示。

ウイルスを検出アクセスを遮断今すぐ電話を

本当に異常なのではなく、
「異常だと“思わせる”設計」だった。

12 / 14

自分ごとにすると

同じ「予約できない」でも

悪い例

予約できません

良い例

14:00 は予約済みです。
14:30 / 15:00 に空きがあります。

同じ機能でも、設計思想しだいで体験はまるで変わる。

13 / 14

今回の学び

技術そのものに、
善悪はない。

HTML も CSS も JavaScript も—— 便利なサービスを作ることも、人を混乱させることもできる。

だからエンジニアは、「どう作るか」だけでなく
「何のために作るか」を考える必要がある。

14 / 14

まとめ

攻撃していたのは、PCではなく
「人間の認知」だった。

同じWeb技術でも、設計思想しだいで
人を安心させるUIにも、人を混乱させるUIにもなる。

これからも「人が安心して判断できるUI」を
意識して作っていこうと思いました。

サポート詐欺から考えた「設計思想」