Google 広告のマルバタイジング詐欺
サイバーセキュリティ研究者は、Google 広告を通じて広告を出す個人や企業をターゲットにした新たなマルバタイジング キャンペーンを発見しました。この手口には、Google 広告自体を装った欺瞞的な広告が含まれており、被害者を認証情報を盗むために設計されたフィッシング トラップに誘い込みます。
目次
アカウント乗っ取りを狙う
攻撃者の主な目的は、できるだけ多くの Google 広告アカウントを乗っ取ることです。被害者を偽のログイン ページにリダイレクトすることで、攻撃者はキャンペーンの拡大に再利用できる認証情報を盗みます。さらに、これらの不正に流用されたアカウントは、おそらくアンダーグラウンド フォーラムで販売されています。Reddit、Bluesky、Google のサポート フォーラムのレポートによると、この活動は少なくとも 2024 年 11 月中旬から継続しています。
Facebookビジネスアカウント戦略との類似点
このキャンペーンで使用された戦術は、Facebook のビジネス アカウントや広告アカウントを標的とした過去の攻撃で使用された戦術とよく似ています。それらのケースでは、サイバー犯罪者は不正アクセスを得るために窃盗型マルウェアを展開し、乗っ取ったアカウントを偽の広告キャンペーンに使用してマルウェアをさらに拡散していました。
検索エンジンの悪用とリダイレクト戦術
脅威アクターは、ユーザーが Google の検索エンジンで「Google 広告」を検索したときに表示されるようにキャンペーンを設計しました。これらの不正な広告をクリックすると、ユーザーは Google サイトでホストされているフィッシング サイトに誘導されます。これらのサイトは、ログイン認証情報と 2 要素認証 (2FA) コードを取得する外部のフィッシング ページに訪問者を誘導します。収集されたデータは、WebSocket 経由で攻撃者が管理する外部サーバーに送信されます。
Google 広告の URL ポリシーを活用する
この攻撃を可能にする重要な戦略の 1 つは、ドメインが一致している限り、最終 URL (広告をクリックした後のリンク先ページ) が表示 URL と異なっていてもかまわないという Google 広告のポリシーです。この抜け穴により、攻撃者は Google サイトで中間のフィッシング ページをホストしながら、正当な Google 広告リンクのように見える URL を表示することができます。
高度な回避テクニック
攻撃者は検出を回避するために、フィンガープリンティング、ボット対策検出、クローキング、CAPTCHA にヒントを得たルアー、フィッシング インフラストラクチャの本質を隠す難読化手法など、さまざまな手法を採用しています。これらの戦術により、攻撃者はセキュリティ対策を回避し、自動システムによるフラグ付けを回避できます。
侵害されたアカウントを武器にする
アカウントが侵害されると、攻撃者はログインして新しい管理者を追加し、被害者の広告予算を悪用して不正な Google 広告を実行します。これにより、攻撃者はフィッシング活動をさらに拡大し、乗っ取ったアカウントを使用してさらに多くの被害者を誘い込むサイクルを作り出すことができます。
ブラジルを拠点とする脅威アクターとの関連性の可能性
証拠から、これらのキャンペーンの背後には複数の個人またはグループがいることが示唆されています。注目すべきは、その多くがポルトガル語を話す人々であり、ブラジルを拠点に活動している可能性が高いことです。フィッシング インフラストラクチャは、ポルトガルの .pt トップレベル ドメイン (TLD) を持つ中間ドメインを利用しており、この仮説をさらに裏付けています。
不正広告に対する Google の対応
Google はこうした悪質なキャンペーンを認識しており、不正使用を防ぐために広告ネットワークを積極的に監視しています。同社は、自社のビジネス、製品、サービスについてユーザーを誤解させようとする不正な広告主に対して厳しい措置を講じています。
脅威に対抗するため数十億の広告を削除
2023 年だけでも、Google は 34 億件以上の広告を削除し、57 億件以上の広告を制限し、約 560 万件の広告主アカウントを停止しました。このうち、2 億 650 万件の広告は、Google の不当表示ポリシーに違反したため明示的にブロックされました。これらの数字は、不正な広告に対する継続的な戦いと、広告の完全性を維持するという Google の取り組みを浮き彫りにしています。
