Google Adsユーザーを標的とした新たな認証情報窃取キャンペーンが発生している。
2024年11月中旬から活動を開始し、現在も進行中(2025年1月16日時点)のこの攻撃は、Malwarebytes社の脅威インテリジェンス部門シニアディレクター Jérôme Segura氏によって発見された。
攻撃者はGoogle検索エンジンでGoogle Adsを検索するユーザーに対して偽の広告を表示し、クリックするとGoogle Sitesでホストされている不正なサイトへリダイレクトする。その後、WebSocketを使用して認証情報と2FAコードを窃取する仕組みとなっている。
特徴
攻撃手法の特徴として、Google Adsの仕様を悪用し、表示URLをads.google.comとしながら、実際のランディングページをsites.google.comでホストしている点が挙げられる。また、フィンガープリンティング、アンチボットトラフィック検出、CAPTCHA風の誘導、クローキング、難読化などの技術を駆使している。
攻撃者と被害状況
攻撃者の多くはポルトガル語話者でブラジルを拠点に活動しており、フィッシングインフラは.pt(ポルトガル)のトップレベルドメインを使用している。被害は地方空港を含む複数の個人や企業に及び、数百件の正当な広告実績を持つアカウントも含まれている。
from:Google Ads Users Targeted in Malvertising Scam Stealing Credentials and 2FA Codes
【編集部解説】
Malwarebytesの調査によると、この攻撃は2024年11月から徐々に拡大し、2025年1月現在も進行中の深刻な脅威となっています。
特筆すべきは、この攻撃がGoogle Adsのシステム自体の仕様を巧妙に悪用している点です。攻撃者はGoogle Sitesを中間サイトとして利用することで、正規のGoogle Adsドメインと同じルートドメインを表示させることに成功しています。
2023年のGoogle Ads Safety Reportによると、Googleは50億以上の不正広告をブロックし、約1,300万の広告主アカウントを停止しています。しかし、今回の攻撃手法は従来の対策をすり抜ける新しいタイプの脅威です。
影響と対策
特に広告主にとって、この脅威は非常に深刻です。攻撃者は広告予算を持つアカウントを狙い、その資金を新たな攻撃に利用しています。
さらに懸念されるのは、広告主は競合他社の広告を確認するために広告ブロッカーを使用していない場合が多く、この種の攻撃に対して脆弱な状態にあるという点です。
テクノロジーの観点からの分析
この攻撃の特徴的な点は、WebSocketを使用して認証情報を収集する高度な技術を実装していることです。また、フィンガープリンティングやアンチボット検出など、最新のセキュリティ回避技術も組み込まれています。
影響と展望
この事例は、正規のプラットフォームの仕様を悪用する新しいタイプのサイバー攻撃の台頭を示唆しています。特に、クラウドサービスの無料tier機能を組み合わせて使用する手法は、従来の防御策では対応が困難です。
マルバタイジング(悪意のある広告)の発生率は、2024年7月から9月にかけて41%増加しており、この傾向は今後も続く可能性が高いと考えられます。
まとめ
デジタル広告市場は2023年にGoogleだけでも1,750億ドルの収益を生み出す巨大産業となっています。この成長と共に、セキュリティとユーザビリティのバランスを取ることが、今後の重要な課題となるでしょう。