Last Updated on 2024-01-26 10:27 by
【ダイジェスト】
Google検索を通じてソフトウェアを探す際のリスクについて、セキュリティ専門家たちは警鐘を鳴らしています。サイバー犯罪者がGoogleの広告プラットフォームを悪用し、人々をだまして有害なソフトウェアをダウンロードさせる事例が後を絶ちません。これらの悪意ある広告は、正規の検索結果よりも上位に表示され、しばしば正規のソフトウェアソースへのリンクよりも先に目につくため、Googleでソフトウェアを検索することは危険を伴うことがあります。
Googleはユーザーの安全を最優先事項とし、数千人のチームが24時間体制で不正行為に対するポリシーの作成と施行に取り組んでいると述べています。実際、悪質な広告によるリスクは1年前と比べて大幅に減少していますが、サイバー犯罪者はGoogleの監視を逃れる巧妙な方法を絶えず考案しており、悪質な広告が完全になくなったわけではありません。
たとえば、先週に行われたFreeCADという無料のグラフィックデザインプログラムのGoogle検索では、検索結果のトップに「スポンサー」と表示された広告が、freecad-us[.]orgというサイトからソフトウェアを入手できると宣伝していました。しかし、このサイトは正規のFreeCADウェブサイトを装っており、実際の公式サイトはその直下の検索結果にあります。
DomainTools.comでのレビューによると、freecad-us[.]orgは2024年1月19日に登録されたばかりのドメインで、オランダのIPアドレス93.190.143[.]252にある200以上のドメインの中で最新のものです。これらのドメインは、人気のあるソフトウェアタイトルに紛らわしい名前がつけられており、一部はGartnerやPCWorld、Slashdot、TechRadarなどの確立されたIT情報源からコンテンツを盗んだソフトウェアレビューサイトに過ぎません。他のドメインは実際にソフトウェアのダウンロードを提供していますが、直接アクセスした場合に限り、有害なものではない可能性が高いです。
セキュリティ企業Sentinel Oneの主任脅威研究者であるTom Hegel氏は、これらの悪意あるドメインを1年以上追跡しており、見かけ上無害なソフトウェアダウンロードサイトが周期的に悪意あるものに変わり、人気のあるソフトウェアタイトルの正規のコピーをバックドア付きのバージョンに置き換え、サイバー犯罪者がリモートでシステムを乗っ取ることを可能にすると述べています。これらの悪質なダウンロードは、特定の地理的な場所からの訪問者、例えばアメリカ合衆国からの訪問者にのみ提供されることがあります。
2023年2月にSentinel Oneが発表した報告書では、さまざまなソフトウェア製品を装った悪質な広告の増加が、IcedID、Redline Stealer、Formbook、AuroraStealerなどの情報窃盗トロイの木馬によるマルウェア感染の急増に直接的な原因であると結論付けています。Hegel氏は、マイクロソフトがインターネットからダウンロードしたドキュメント内のOfficeマクロをデフォルトでブロックし始めた直後に、悪質なソフトウェアテーマの広告が増加したと指摘しています。
GoogleのSafebrowsing技術によって現在ブロックされているウェブサイトもありますが、なぜGoogleが同じホストにある240以上の他のドメインを同様にブロックしないのか、または検索インデックスから完全に削除しないのかは不明です。特に、そのオランダのIPアドレスにはこれらのドメイン以外に何もホストされておらず、過去1年間そのアドレスに留まっているからです。
KrebsOnSecurityからの質問に対して、Googleは広告エコシステムの安全を維持し、プラットフォームからマルウェアを排除することがGoogle全体の優先事項であると回答しました。Googleは2022年に52億件の広告を削除し、43億件以上の広告を制限し、670万以上の広告アカウントを停止しました。Googleの最新の広告安全報告書によると、2022年には不正行為ポリシーに違反する広告を13億6000万件ブロックまたは削除しました。
Sentinel Oneの報告書には、Corel Draw、Github Desktop、Roboform、Teamviewerなどの公式ダウンロードサイトを装った新たなドメインが多数追加されています。2023年10月のFreeCADユーザーフォーラムの報告によると、あるユーザーが「freecad」のGoogle検索結果のトップに表示されたサイトからソフトウェアをダウンロードしたところ、詐欺に遭ったと報告しています。その約1ヶ月後、別のFreeCADユーザーも同じ詐欺に引っかかったと報告しています。
Sentinel Oneの報告書は、この継続中のMalVirtキャンペーンの背後にいる「誰」については詳しく触れていませんが、帰属を指し示す手がかりはほとんどありません。問題のドメインはすべてwebnic.ccを通じて登録されており、いくつかはコンテンツの準備ができているというプレースホルダーページを表示しています。これらのプレースホルダーページのHTMLソースを見ると、コード内の隠されたコメントの多くがキリル文字であることがわかります。
Googleの広告透明性ツールを使用して犯罪者を追跡しようとした試みはあまり進展しませんでした。上記のスクリーンショットにあるfreecad-us[.]orgを特集した悪質な広告の広告透明性レコードを見ると、その広告を支払った広告アカウントがGoogle検索を通じて以前に実行した広告は1つだけで、ニュージーランドのウェディング写真のウェブサイトを宣伝していました。その写真ウェブサイトの見かけ上の所有者はコメントの要請に応じませんでしたが、彼のGoogle広告アカウントがハッキングされ、これらの悪質な広告を実行するために使用された可能性もあります。
【ニュース解説】
Google検索を利用してソフトウェアを探す際には、悪意ある広告によって偽のソフトウェアがダウンロードされるリスクがあるという問題が指摘されています。サイバー犯罪者は、Googleの広告プラットフォームを悪用して、正規のソフトウェアと紛らわしい偽サイトへ誘導する広告を掲載し、ユーザーに有害なソフトウェアをダウンロードさせる手口を用いています。これらの広告は、検索結果の上部に「スポンサー」として表示されるため、ユーザーが誤ってクリックしやすい状況が生まれています。
Googleはこの問題に対処するために数千人のチームを配置し、24時間体制で不正行為に対するポリシーの施行に取り組んでいると述べており、悪質な広告によるリスクは1年前に比べて減少しているとしています。しかし、サイバー犯罪者はGoogleの監視を逃れる新たな手法を開発し続けており、問題は完全に解決していないのが現状です。
例えば、FreeCADという無料のグラフィックデザインプログラムを検索した際に、正規のサイトではないにも関わらず公式サイトと偽ったfreecad-us[.]orgというドメインが広告として表示されていました。このようなドメインは、正規のソフトウェアを提供するサイトを装いながら、実際にはバックドアが仕込まれたソフトウェアを配布し、サイバー犯罪者がリモートからシステムを乗っ取ることを可能にしています。
この問題の深刻さは、特定の地域からのユーザーをターゲットにしたり、ドメインが一時的に正規のものとして検索エンジンに認識された後に悪意あるページに切り替えるなど、犯罪者の手口が巧妙であることにあります。Sentinel Oneの報告によると、このような悪質な広告キャンペーンは、情報窃盗トロイの木馬の感染拡大に直接的な影響を与えています。
Googleは2022年に52億件の広告を削除し、43億件以上の広告を制限し、670万以上の広告アカウントを停止するなどの対策を講じていますが、なぜ特定のホストにある240以上のドメインがブロックされていないのか、または検索インデックスから削除されていないのかは不明です。Googleは広告エコシステムの安全を維持し、プラットフォームからマルウェアを排除することを優先事項としていると述べており、問題の広告を削除し、関連するアカウントを停止したとしています。
この問題は、ユーザーがソフトウェアをダウンロードする際には、公式サイトや信頼できるソースからのみダウンロードすることの重要性を浮き彫りにしています。また、Googleや他の検索エンジンが広告プラットフォームの安全性を高めるためにどのような対策を講じるべきか、そしてユーザーがどのようにして自身を保護するべきかという議論を促しています。このような悪質な広告によるリスクは、ユーザーの個人情報や企業のセキュリティに対する脅威であり、インターネットの安全性を確保するためには、引き続き注意が必要です。
