Arctic Wolfが2025年7月3日に公開した報告によると、SEOポイズニング技術を使用してOyster(別名BroomstickまたはCleanUpLoader)マルウェアローダーを配信する悪意のあるキャンペーンが発見された。
攻撃者はPuTTYやWinSCPなどの正規ツールのトロイの木馬化されたバージョンをホストする偽ウェブサイトを運営し、updaterputty[.]com、zephyrhype[.]com、putty[.]run、putty[.]bet、puttyy[.]orgなどのドメインを使用している。
Kasperskyの報告では、2025年1月から4月の間に約8,500の中小企業ユーザーが、人気のAIおよびコラボレーションツールに偽装したマルウェア攻撃の標的となった。Zoomを模倣したファイルが全体の41%を占め、OutlookとPowerPointがそれぞれ16%、ChatGPTを模倣した悪意のあるファイルは2025年の最初の4か月で115%増加して177件に達した。
Zscaler ThreatLabzは、AI関連キーワードの検索結果を操作してVidar、Lumma、Legion Loaderマルウェアを拡散するブラックハットSEOポイズニング技術の使用を報告した。Silent Pushは2025年6月9日、GhostVendorsと名付けた4,000以上の偽ウェブサイトネットワークがFacebook広告を通じて主要ブランドを偽装する詐欺キャンペーンを発見したと発表した。
From: 
SEO Poisoning Campaign Targets 8,500+ SMB Users with Malware Disguised as AI Tools
【編集部解説】
今回のSEOポイズニングキャンペーンは、サイバー犯罪者が検索エンジンの仕組みを悪用する手法の進化を示す重要な事例です。従来のフィッシング攻撃とは異なり、ユーザーが能動的に検索した結果を汚染することで、より自然な感覚で悪意のあるサイトへ誘導する点が特徴的です。
SEOポイズニングの技術的仕組み
SEOポイズニングは、検索エンジンのアルゴリズムを操作して悪意のあるサイトを上位表示させる手法です。攻撃者は正規のSEO技術を悪用し、人気の高いソフトウェア名やAI関連キーワードを狙い撃ちします。特に注目すべきは、WordPressなどの一般的なプラットフォームを利用してサイトを構築し、検索エンジンからの信頼性を高めている点です。
この手法の巧妙さは、ユーザーの検索意図を完全に理解している点にあります。IT専門家がPuTTYやWinSCPといった業務必須ツールを検索する際の心理状態を逆手に取り、時間的プレッシャーの中で判断ミスを誘発させています。
マルウェア配信の多層構造
今回のキャンペーンで使用されているOyster/Broomstickマルウェアは、3分間隔で実行されるスケジュールタスクを作成し、DLL登録メカニズムを活用した永続化を実現しています。この手法は、従来の単発的な感染とは異なり、システムに深く根を張る長期的な潜伏を可能にします。
さらに注目すべきは、Vidar、Lumma、Legion Loaderといった複数のマルウェアファミリーが同時に運用されている点です。これは単一の攻撃グループが多様な攻撃手法を並行展開していることを示唆しており、サイバー犯罪の産業化が進んでいることを物語っています。
中小企業への集中的な標的化
Kasperskyのデータが示す8,500件という被害規模は、中小企業のセキュリティ脆弱性を浮き彫りにしています。大企業と比較してセキュリティ投資が限定的な中小企業は、高度な脅威検知システムを導入していないケースが多く、攻撃者にとって格好の標的となっています。
特にZoomを模倣したファイルが41%を占めるという事実は、リモートワーク環境の普及に伴う新たなリスクを示しています。コロナ禍以降、業務に不可欠となったコラボレーションツールへの依存度の高さが、攻撃者に悪用されている構図が見えてきます。
AI技術の普及と新たな脅威ベクター
ChatGPTを模倣した悪意のあるファイルが115%増加している現象は、AI技術の急速な普及に伴う副作用として捉える必要があります。企業や個人がAI技術を積極的に導入しようとする心理状態を攻撃者が巧みに利用しており、技術革新の影の部分が露呈しています。
Arctic Wolfの2025年トレンドレポートでも、AIが初めてランサムウェアを上回り、セキュリティリーダーの最大の懸念事項となったことが報告されています。この傾向は、新しい技術が普及する際に必ず発生する「技術的信頼の悪用」という古典的なパターンの現代版といえるでしょう。
広告プラットフォームの構造的脆弱性
GhostVendorsキャンペーンが示すFacebook広告の悪用は、デジタル広告エコシステムの構造的な問題を浮き彫りにしています。Meta Ad Libraryから広告が自動削除される仕組みは、透明性確保の観点から問題があり、攻撃者がこの仕組みを意図的に悪用している状況です。
4,000以上の偽ドメインを運用する規模は、組織化された犯罪グループの関与を強く示唆しており、個人レベルの犯罪を超えた産業規模の脅威に発展していることが分かります。
長期的な影響と対策の方向性
この種の攻撃の増加は、検索エンジンやソーシャルメディアプラットフォームに対する根本的な信頼性の見直しを迫るものです。ユーザーの検索行動や広告との接触方法に変化をもたらし、より慎重なデジタル行動が求められる時代の到来を告げています。
企業レベルでは、従業員教育の重要性が一層高まっており、技術的な対策だけでなく、人的要素を含めた包括的なセキュリティ戦略の構築が不可欠となっています。特に中小企業においては、限られたリソースの中で効果的なセキュリティ対策を実現する新たなアプローチが求められています。
規制環境への影響
このような大規模な詐欺キャンペーンの発覚は、デジタル広告業界に対する規制強化の議論を加速させる可能性があります。特にEUのデジタルサービス法(DSA)のような包括的な規制枠組みが、他の地域でも検討される契機となるかもしれません。
検索エンジンやソーシャルメディアプラットフォームには、より厳格な広告審査体制の構築と、悪意のあるコンテンツの迅速な検出・除去システムの開発が求められることになるでしょう。
【用語解説】
SEOポイズニング:
検索エンジンの検索結果を操作し、悪意のあるサイトを上位に表示させる攻撃手法である。
マルバタイジング:
悪意のある広告を通じてマルウェアを配布する手法である。
バックドア:
正規の認証を回避してシステムに不正アクセスするための隠し入り口である。
DLL登録:
WindowsのDLL(動的リンクライブラリ)をシステムに登録し、特定の機能を実行させる技術である。
ブラックハットSEO:
検索エンジンの規約に反する不正なSEO手法である。
フィッシング:
偽のウェブサイトやメールでユーザーの個人情報を騙し取る詐欺行為である。
スティーラー:
情報を盗み出すマルウェアの一種である。
デッドドロップリゾルバー:
通信経路を隠すために第三者のサービスを介してコマンドを受け取る仕組みである。
Node.js:
サーバーサイドでJavaScriptを実行するためのプラットフォームである。
npmパッケージ:
Node.jsのためのソフトウェアモジュールである。
ClickFix戦略:
ユーザーを騙してクリックさせることで悪意のあるファイルをダウンロードさせる手法である。
NSIS:
Nullsoft Scriptable Install Systemの略で、Windowsアプリケーションのインストーラー作成ツールである。
AutoIt:
Windowsの自動化スクリプト言語である。
MSI:
Microsoft Installer形式のインストールパッケージである。
【参考リンク】
Arctic Wolf(外部)
24時間365日対応のAI駆動型サイバーセキュリティ保護を提供する企業
Kaspersky(外部)
ロシア発のグローバルなサイバーセキュリティ企業でアンチウイルス製品を中心に提供
Zscaler(外部)
クラウドベースのセキュリティプラットフォームを提供、ThreatLabzは研究部門
Silent Push(外部)
先進的な脅威インテリジェンスプラットフォームを提供しサイバー攻撃の予防に注力
Bitdefender(外部)
ルーマニア発のサイバーセキュリティ企業で多様なセキュリティ製品を提供
Malwarebytes(外部)
マルウェア対策ソフトウェアを開発・提供する企業
【参考記事】
Arctic Wolf 2025 Trends Report(外部)AIがランサムウェアを上回りセキュリティリーダーの最大の懸念事項となった報告
Desktop and IoT threat statistics for Q1 2025(外部)Kasperskyが公開したQ1脅威統計レポート、中小企業攻撃の詳細データを提供
【編集部後記】
今回のSEOポイズニング事案を通じて、私たちが日常的に行っている「検索」という行為の信頼性について、改めて考えさせられました。皆さんは業務で必要なソフトウェアをダウンロードする際、どのような基準でサイトを選んでいますか?また、AI技術の急速な普及に伴い、新しいツールを試したいという気持ちと、セキュリティリスクのバランスをどう取っていらっしゃるでしょうか。
特に中小企業で働く方々にとって、限られたリソースの中でセキュリティ対策を講じることの難しさは、私たちも日々感じているところです。この記事をきっかけに、皆さんの職場や個人での対策について、ぜひお聞かせください。
