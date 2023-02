2023年02月07日 08時00分 セキュリティ

Google検索結果にMicrosoft TeamsやOBSなど有名ソフトに偽装しマルウェアを拡散する広告が表示される事例が急増



通常のオンライン広告に見せかけてユーザーをマルウェア拡散用の不正なウェブサイトに誘導する広告は「マルバタイジング」と呼ばれます。スパム活動やセキュリティ上の脅威を追跡する企業・Spamhaus Technologyのセキュリティ研究者が2023年2月3日のブログで、過去数日間にわたりGoogle広告全体でマルバタイジングが急増したと報告しました。



A surge of malvertising across Google Ads is distributing dangerous malware - Spamhaus Technology

https://www.spamhaus.com/resource-center/a-surge-of-malvertising-across-google-ads-is-distributing-dangerous-malware/



Until further notice, think twice before using Google to download software | Ars Technica

https://arstechnica.com/information-technology/2023/02/until-further-notice-think-twice-before-using-google-to-download-software/



Spamhaus Technologyの研究者であるサラ・ミラー氏は、「セキュリティ脅威の研究者は、Google広告を介したマルバタイジングをある程度見ることに慣れています。しかし、研究者は過去数日間で、多くの有名ブランドに影響を与える複数のマルウェアが利用された大規模なマルバタイジングの急増を目にしました。これは普通ではありません」と述べています。





ミラー氏によると、過去数日間で急増したマルバタイジングでは、AuroraStealer・IcedID・Meta Stealer・RedLine Stealer・Vidar・Formbook・XLoaderなど多数のマルウェアファミリーの拡散が確認されているとのこと。



従来、これらのマルウェアファミリーはマルウェアを仕込んだ文書ファイルを添付したフィッシングメールや、悪意のあるスパムメールを通じて拡散されていたそうです。しかし、1月末にはAdobe Reader・GIMP・Microsoft Teams・OBS・Slack・Tor・Thunderbirdといった人気ソフトウェアブランドになりすましたGoogle広告を通じて、これらのマルウェアファミリーが拡散されるケースが急増したとミラー氏は説明しています。



一連のマルバタイジングは、ソフトウェア名などでGoogle検索を行った際に表示されるオンライン広告に偽装されています。本物だと信じ込んでサイトにアクセスし、サイトに書かれている通りにソフトウェアをダウンロードすると、デバイスがマルウェアに感染してしまうというわけです。





実際にテクノロジー系メディアのArs TechnicaがGoogle検索でマルバタイジングを探してみたところ、「visual studio download」と検索して最上部に表示された広告が、「visual studio download[.]net」というサイトへのリンクを含んでいました。





この「visual studio download[.]net」は複数のマルウェア対策エンジンによって悪意のあるサイトと認定されており、インストールできるソフトウェアはマルウェアを含んでいるとのこと。Ars Technicaは、他にもTor・Thunderbird・MSI Afterburner・Audacityなどで検索した際にマルバタイジングを見つけたと述べています。





もちろんGoogleはマルバタイジングを撲滅するためにさまざまな対策をとっていますが、これらのマルバタイジングは難読化を使用してエンドポイントの保護と分析を回避し、複数のドメインに対する通信を使用してC2サーバーのトラフィックを偽装しているとのこと。



Googleの広報担当者はArs Technicaのインタビューを断りましたが、Ars Technicaを通じて「悪意のあるアクターは身元を隠し、私たちのポリシーや強制力を回避するために、しばしば巧妙な手段を用います。この問題に対処するため、私たちは過去数年間にわたって新しい認証ポリシーを立ち上げ、広告主の検証を強化し、協調的な詐欺を検知・防止する能力を向上させてきました。私たちは、最近になり不正な広告活動が増加していることを認識しています。この問題に対処することは重要な優先事項であり、私たちは可能な限り早くこれらの問題を解決するために取り組んでいます」という声明を発表しています。



Spamhaus TechnologyはGoogle広告でマルバタイジングが急増した理由について、脅威アクターがダークウェブ上でマルバタイジングをSaaSとして販売し始めた可能性が高いと述べています。Spamhaus Projectのドメイン専門家であるCarel Bitter氏は、今回のマルバタイジングに使われたドメインはつい最近作成されたものであることを指摘し、Google広告が新しすぎるドメインにリンクする広告を承認した理由を疑問視しました。