Last Updated on 2024-02-15 19:02 by 荒木 啓介
サイバー犯罪者がマルウェアの展開を測定し、検出を避けるために広告技術に目を向けていることが、HP Wolf Securityの2024年第4四半期の脅威インサイトレポートで明らかにされた。このレポートによると、犯罪者はマーケティングキャンペーンを管理するためにビジネスが使用するのと同じ広告技術ツールを利用して、ソーシャルエンジニアリング攻撃をより効果的にしている。例えば、DarkGate PDFマルウェアキャンペーンは、被害者のコンピュータにバックドアアクセスを提供し、データ盗難やランサムウェアの目的で、広告ツールに依存している。
攻撃者は、オフィスワーカーが頻繁に変更されるユーザーインターフェースを持つクラウドベースのアプリケーションに依存していることを知っており、偽のインターフェース要素や誤ったエラーメッセージを見分けることが難しくなっている。偽のOneDriveエラーメッセージをクリックすると、マルウェアのペイロードが直接ダウンロードされるのではなく、広告ネットワークを介して被害者のクリック(識別子とファイルをホストするドメインを含む)をルーティングし、その後、PDF内では明らかにされない悪意のあるURLを取得する。
広告ネットワークをプロキシとして使用することで、攻撃者は検出を回避し、リンクをクリックした人々に関する分析を収集することができる。広告ネットワークがクリック詐欺を防ぐために実際のユーザーを検証するCAPTCHAを使用しているため、自動化されたマルウェア分析システムがマルウェアペイロードをスキャンすることは難しく、ファイルを安全と誤分類するリスクがある。
HP Wolf Securityによると、2023年第4四半期に分析されたマルウェアの11%がPDFを介して配信されており、これは同年の第1四半期と第2四半期の4%から増加している。攻撃者は、マルウェアをホストするためにクラウドサービスを利用し続けており、これによりユーザーがこれらのプラットフォームに置く信頼を利用している。
組織が資源豊富な脅威アクターに対抗するためには、電子メールの添付ファイルの開封、リンクのクリック、ブラウザのダウンロードなどのリスクの高い活動を隔離し、制限するゼロトラスト原則に従う必要があると、HPのグローバルセキュリティ責任者であるIan Prattは述べている。
【ニュース解説】
サイバー犯罪者がマルウェアの展開と検出回避のために広告技術を利用していることが、HP Wolf Securityの最新レポートで明らかにされました。この手法では、ビジネスがマーケティングキャンペーンを最適化するために使用するツールが、マルウェアの配信を効果的にするために悪用されています。特に、PDFファイルを介したマルウェア配信が増加しており、広告ネットワークを介してユーザーのクリックを悪意のあるURLにルーティングすることで、攻撃者は検出を回避し、ターゲットの行動に関する分析を収集することが可能になっています。
このような攻撃手法の背景には、オフィスワーカーがクラウドベースのアプリケーションに依存している現状があります。ユーザーインターフェースが頻繁に変更されるため、偽のエラーメッセージやインターフェース要素を見分けることが難しくなっています。例えば、偽のOneDriveエラーメッセージをクリックすると、広告ネットワークを経由して悪意のあるURLが取得されますが、このプロセスはユーザーには明らかにされません。
この攻撃手法の利点としては、広告ネットワークがCAPTCHAを使用して実際のユーザーを検証するため、自動化されたマルウェア分析システムがペイロードをスキャンすることが難しくなり、ファイルが安全と誤分類されるリスクがあります。これにより、攻撃者は検出を回避しつつ、効果的にマルウェアを配信することができます。
この問題に対処するためには、組織がゼロトラスト原則に従い、リスクの高い活動を隔離し、制限することが重要です。電子メールの添付ファイルの開封、リンクのクリック、ブラウザのダウンロードなど、攻撃者が利用する可能性のある活動を厳しく管理することで、マルウェアの侵入を防ぐことができます。
この技術の悪用は、サイバーセキュリティの分野において新たな課題を提示しています。広告技術がマルウェア配信のために利用されることで、従来のセキュリティ対策だけでは不十分であることが明らかになり、組織はより進んだ対策を講じる必要があります。また、この問題は広告ネットワークの運営側にも影響を及ぼし、不正利用を防ぐための新たな対策の必要性を示しています。長期的には、このような攻撃手法の進化に対応するために、技術的な解決策だけでなく、法的・規制的なアプローチも重要になるでしょう。
“サイバー犯罪者、広告技術でマルウェア展開:HP報告書が警鐘” への1件のコメント
この記事を読んで、サイバー犯罪の手法が日々進化していることに驚かされます。私たち世代では、コンピューターが普及し始めた頃、こんな複雑な犯罪は想像もできませんでした。今では、広告技術を悪用してマルウェアを拡散するなど、技術の進歩が犯罪にも利用されているのですね。
特に、PDFファイルを介してマルウェアが配信されるというのは、一般的な人々にとって非常に扱いが難しい問題です。PDFは日常的に使われているファイル形式なので、疑いを持たずに開いてしまうことが多いでしょう。その上、偽のエラーメッセージや広告ネットワークを介した複雑なルーティングは、一般ユーザーが警戒するにはあまりにも巧妙です。
このような状況を考えると、組織や個人が自衛するためには、HPのグローバルセキュリティ責任者が述べているように、ゼロトラスト原則のようなセキュリティ対策を強化することが必須です。電子メールの添付ファイルやリンクのクリックなど、日常的な行動にも注意を払わなければならないというのは、多大な負担に感じますが、自らを守るためには避けられないことだと思います。