ChatGPTやZoomを装ったマルウェア、Google広告経由で配布
人気のアプリを検索しているユーザーを騙してマルウェアをダウンロードさせるGoogle検索広告が出現しています。
迷惑な広告が好きな人は少ないと思いますが、ただ迷惑なだけでなく、本当に危険な広告の場合はさらに別の話ですよね。
この場合、サイバー犯罪者は、検索結果の上位に自分たちのリンクが表示されるように、Googleにお金を払って検索広告を掲載させているのです。
何も知らないユーザーは、Googleが検索結果広告を掲載する前に広告主をしっかり審査していると思って、詐欺広告をクリックすると、ソフトウェアとは全く関係のない通常無害なサイトに移動し、企業の公式ウェブサイトそっくりの擬製サイトにリダイレクトされます。
そこから、ユーザーは正規の製品だと思ってトロイの木馬をダウンロードしてしまいます。
このマルウェアは、その後、個人情報を盗んだり、ランサムウェアを含む他のマルウェアをインストールしたり、コンピュータをコントロールしたりすることができます。
このような攻撃は、技術的な知識をあまり持っていない場合でも実行可能であり、最近ますます詐欺師の間で人気が高まっています。
最新の例の1つは、Bumblebee(バンブルビー)という名前のマルウェアです。
SecureWorksの研究者によると、このマルウェアローダーは、以前は主にフィッシングリンクを通じて配布されていましたが、現在はGoogle広告と「検索エンジン最適化(SEO)ポイズニング」を通じて拡散されています。
SEOポイズニング(SEO poisoning)とは、サイバー犯罪者が悪意のあるウェブサイトにキーワード、偽のバックリンク、コンテンツを詰め込み、不正サイトが正規のサイトよりも検索結果で上位に表示されるようにすることです。
SEOポイズニングとGoogle Adsの不正利用は補完的な関係にありますが、この記事では特に Google Ads に焦点を当てたいと思います。
Bumblebee(バンブルビー)マルウェア
最近のブログ投稿でSecureWorksは、サイバー犯罪者が話題のChatGPTのような新しいソフトウェアや、リモートワーカーに支持されているソフトウェア(Zoom、安全なリモートアクセスVPNクライアントであるCisco AnyConnect、同じく人気のリモートワークアプリケーションであるCitrix Workspaceなど)のダウンロードを誘導するリンクをGoogle広告に貼り付けていると述べています。
ユーザーがリンクをたどると、偽のダウンロードページにたどり着き、上記のソフトウェアの「トロイの木馬」版が配布されます。
あるキャンペーンでSecureWorksは、Bumblebeeの“毒”が混入した不正なCiscoソフトウェアのインストール中に、Cisco AnyConnectの正規インストーラとPowerShellという悪意のあるプログラム、つまり2つのファイルが実行されるのを観測しました。
後者のPowerShellファイルにBumblebeeが含まれていたという。
PowerShellスクリプトは、Bumblebeeを実行しないでそれをコンピュータのメモリにロードするため、ウイルス対策ソフトウェアによる検出が困難になります。
SecureWorksによると、攻撃者の最終目標は、コンピュータやファイルをロックし、アクセスを回復するためにはユーザーに身代金の支払いを要求するマルウェアの一種であるランサムウェアを展開することでした。
Google広告には以前からも悪質な広告が続出
Bumblebeeは、Googleが対処する前に広告を通じて野火のように広がってしまう可能性のあるマルウェアの一例にすぎません。
Google Adsの不正広告の問題は、決して新しいものではありません。
検索結果に表示されるスポンサーリンクを含むGoogle広告には、何年も前から悪質な広告があふれている。
オンライン広告市場が活況を呈する中、Googleはそのポリシーに違反する悪質広告に追いつけないだけなのです。
2013年、Googleは3億5000万件以上の悪質広告を削除し、マルウェアを隠した40万以上のサイトへ誘導する広告を無効にし、27万件の悪徳広告主をバンしたと同社は述べています。
2022年には、その数字はもっと高くなりました。
Googleは、最新の広告安全性レポートで、52億件以上の悪質広告をブロック(不当表示ポリシー違反の1億4200万件を含む)、670万件の広告主のアカウントを停止したと述べています。
グーグルのあらゆる努力にもかかわらず、状況が一変する気配はありません。
専門家は、Google広告を通じて配布されるマルウェアの現状は、良くなっていない、むしろ悪くなっているようだと警鐘を鳴らしています。
この種の不正広告攻撃が増加する中、まだ餌として利用されていない人気アプリやソフトウェアを見つけるのは困難です。
ここ数カ月でも、犯罪者は広告を利用してユーザーをSlack、Grammarly、μTorrent、Malwarebytes、Microsoft Visual Studioなどの製品を提供しているかのように見せかける偽ウェブサイトに誘い込んでいます。
また、ウイルス対策ソフトウェアはコンピュータによるマルウェアアップロードを通常阻止してくれると期待される一方で、サイバー犯罪者は、ウイルス対策プログラムによる検出を回避することに非常に長けてきているという問題もあります。
悪質な検索広告から身を守る方法
ウイルス対策ソフトの使用だけでは、こうした攻撃から身を守ることができないため、他の方法も併用することが一番です。
検索広告を利用したマルウェア攻撃の増加にはFBIも気づいていて、最近、被害者にならないためのアドバイスをいくつか発表しています。
例えば、広告をクリックする前にURLを確認したり、Google検索からサイトに移動するではなくブラウザのURL欄に直接サイトのURLを入力することを推奨しています。
これらは間違いなく有効な対策ですが、急いでいるときや注意を払っていないときには効果的にならないこともあります。
また、マルウェア広告主は、アド・クローキング(ad cloaking)と呼ばれる手法でサイトの本当のURLを隠して、あなたを騙すことができます。
FBIによると、安全を確保するもう一つの方法は、広告ブロッカーを使用することです。
AdGuard ブラウザ拡張機能のようなブラウザ拡張機能またはスタンドアロンアプリである広告ブロッカーを使用することは、サイバー犯罪者が掲載する広告の脅威から身を守る最も確実な方法であるようです。
広告ブロッカーを使用すると、検索広告を一切表示しないように設定できるため、毎回広告のURLを確認するなどといった注意も必要ないのです。
さらに、AdGuardを含む一部の広告ブロッカーは、悪意のあるウェブサイトやフィッシングサイトにアクセスしないように保護してくれます。
AdGuardブラウザ拡張機能では、検索広告とウェブサイト自己宣伝のブロックはデフォルト設定であり、初期設定時にオフにされている場合は、ワンクリックでオンにすることができます。
以下で、AdGuard製品で検索広告ブロックを有効にする方法を確認できます。
AdGuardで検索広告ブロックを有効にする・有効であることを確認する方法【各プラットフォームでの手順】
※以下の状態が、検索結果で出る広告がブロックされる状態となります。
AdGuard ブラウザ拡張機能
⚙ (画面右上) → 「一般」 → 「検索広告やサイトの自己宣伝をブロックする」をオンにする
AdGuard for iOS
🛡アイコン (下方の左から2つ目) → 「Safariでブロック」 → 「フィルタ」 → 「その他」 → 「検索広告・自己宣伝のブロック解除フィルタ」をオフにする
AdGuard for Android
画面左上のメニュー(☰) → 「コンテンツブロック」 → 「フィルタ」 → 「その他」 → 「検索広告・自己宣伝のブロック解除フィルタ」をオフにする
AdGuard for Windows
メイン画面上の「設定」 → 「広告ブロッカー」 → 「検索広告やウェブサイトの自己宣伝をブロックしない」にチェックが入っていないことを確認する
AdGuard for Mac
⚙ (画面右上) → 「設定…」 → 「一般」 → 「検索広告やウェブサイトの自己宣伝をブロックしない」にチェックが入っていないことを確認する
AdGuard for Safari (Mac)
設定 → 一般設定 → 「検索広告とウェブサイトの自己宣伝を表示する」をオフにする
