サイバーセキュリティ企業Malwarebytesは2025年1月30日、Google検索広告を悪用してMicrosoft広告アカウントの認証情報を窃取しようとする新たなフィッシング攻撃を発見した。
この攻撃では、「Microsoft Ads」や「Bing Ads」などの検索キーワードに対して表示されるスポンサー広告に悪意のあるリンクが仕込まれている。攻撃者は以下の手法を用いている:
- VPNユーザーを偽のマーケティングページに誘導
- 一般ユーザーには「Are you human?」という確認画面を表示
- Cloudflareの正規の認証システムを悪用
- 偽のMicrosoft広告プラットフォームログインページへ誘導
- 2要素認証のバイパスを試行
Malwarebytesのシニアリサーチディレクター、ジェローム・セグラ氏によると、この攻撃インフラは少なくとも2年前から存在していたという。
参考として、Microsoftの2023年の検索広告および関連ニュース収入は約122億ドル(約18兆円)に達している。
Googleは本件について、「ユーザーを欺く広告は明確に禁止しており、違反者のアカウントは即座に停止する」とコメントしている。
from:Microsoft passwords at risk as hackers exploit Google
【編集部解説】
この攻撃は、デジタル広告業界における新たな脅威として注目すべき事例です。特に注目すべきは、攻撃者がGoogle広告の信頼性を巧妙に悪用している点です。
従来のフィッシング攻撃と異なり、今回の手法は広告主という特定のビジネスユーザーを標的としています。これは、広告アカウントが持つ価値に着目した戦略的な攻撃といえます。実際、Microsoftの広告収入は2023年に約122億ドル(約18兆円)に達しており、攻撃者にとって魅力的な標的となっています。
特筆すべきは攻撃の洗練度です。VPNユーザーの識別、Cloudflareの正規認証システムの利用、そして「rickroll」(ミームビデオへのリダイレクト)といった多層的な防御機構を備えています。これらの技術は、セキュリティ研究者による調査を妨害しつつ、一般ユーザーを効果的に騙す目的で実装されています。
この攻撃が示唆する重要な課題は、デジタル広告プラットフォーム間の相互運用性がもたらすセキュリティリスクです。GoogleとMicrosoftという競合プラットフォーム間で広告が展開される状況を、攻撃者が巧みに利用しているのです。
企業のデジタルマーケティング担当者にとって、この脅威は特に深刻です。広告アカウントが乗っ取られた場合、不正な広告出稿による金銭的被害だけでなく、ブランドイメージの毀損にもつながる可能性があります。
対策として、パスワードマネージャーの利用や2要素認証の徹底は必須ですが、それ以上に重要なのは広告運用における「不自然さ」への警戒です。たとえば、競合プラットフォームの広告をクリックする際は、URLを特に慎重に確認する習慣が重要になってきます。
この事例は、デジタル広告業界全体にとって、セキュリティとユーザビリティのバランスを再考する機会となるでしょう。特に、プラットフォーム間での広告配信における安全性確保の新たな基準作りが求められる可能性があります。