2023年05月24日公開
ネットを見ただけ感染?!マルバタイジングの再来
今回は、マルバタイジングについて解説します。
マルバタイジング(Malvertising)とは、Malicious(悪意のある)と Advertising(広告)を組み合わせた造語で、オンライン広告(ネット広告)を使用してマルウェア(ウイルス)を拡散する手口を指します。
マルバタイジングの手口自体は、一説によると2010年以前から確認されており真新しいものではありませんが、サイバー攻撃者(グループ)は様々な攻撃の手口を保有するなかで、ほとぼりが冷めた好機を狙っているかもしれません。
マルバタイジング(Malvertising)とは、Malicious(悪意のある)と Advertising(広告)を組み合わせた造語で、オンライン広告(ネット広告)を使用してマルウェア(ウイルス)を拡散する手口を指します。
マルバタイジングの手口自体は、一説によると2010年以前から確認されており真新しいものではありませんが、サイバー攻撃者(グループ)は様々な攻撃の手口を保有するなかで、ほとぼりが冷めた好機を狙っているかもしれません。
マルバタイジング(Malvertising)ってなあに?
本インシデント事例ではマルバタイジングによりパソコンがマルウェアに感染し、マルウェアがさらにランサムウェアを引き込み、マルウェアに感染したパソコンからアクセス可能なファイルサーバーもファイル暗号化の被害に至りました。
フォレンジック調査の結果、マルウェアに感染したパソコンからは十数個のマルウェアが発見されましたが、その全てがウイルス対策ソフトで検出されないマルウェアであったため、2015年当時としてはサイバー攻撃者によるマルウェアの作成レベルの高度化を伺わせる事例でした。
マルバタイジング(Malvertising)の仕組み
サイバー攻撃者は自らオンライン広告を購入し、また、オンライン広告サーバーを侵害してマルバタイジングのためのインフラを取得します。
オンライン広告の購入(侵害)後、検索エンジンの検索結果で目立つように広告を配置したり、特定の志向や属性のあるユーザーに広告が表示されるように設定したり、言葉巧みに攻撃者の意図した(マルウェアを設置した)不正サーバーに誘導したりと…
まるで一般の商取引と同じようにオンライン広告を掲載するかのようです。一般の広告と見分けがつきません。
マルウェアが設置された不正サーバーに誘導されたとしても、クリックしなければダウンロードが始まらないようなコンテンツや、魅力的(?!)なコンテンツでなければ恐れるに足らないかもしれません。(これはフィッシングそのものですね!)
実はマルバタイジングの手口で恐ろしいのは、利用者がクリックすることなく(気づくことなく)マルウェアが感染することです。
これは、いわゆるドライブバイダウンロード(Drive-by download)と呼ばれるものですが、有害なスクリプトの影響であったり、悪意のある広告を閲覧した端末に脆弱性があった場合に攻撃が成立する可能性があります。
脅威は忘れた頃に マルバタイジング被害を防ぐポイント
他の脅威を防ぐ方法と基本的に同じだからです。
しかしながら、「本当はやらないといけないけど、できていない」という心理や隙をサイバー攻撃者は狙っています。
【広告が正規のものか見分ける】【フィルタリングシステムの導入】
広告をクリックではなくマウスオーバーすることで、(多くのブラウザの場合)ブラウザの画面左下に広告のリンク先URLが表示されます。
このURLで不審かどうかを見分けることができる場合があります。但し、マウスオーバーでリンク先URLにリダイレクトする場合もあり、この点、一般の利用者に求めるのは酷かも分かりません。
このような場合は、有害なURL(不正なドメインやサーバー)をフィルタリングするUTM(統合脅威管理)、ソフトウェアやクラウドサービスも効き目があります。
【端末の業務利用ソフトウェア等を管理する】
上記のフィルタリングに加えて、パソコン等にインストールされているソフトウェアを最新にし、防御力を高めることも有効です。職場にあるパソコンには、どのOSのバージョンがインストールされ、ソフトウェアは何かインストールされ、ブラウザのプラグイン(機能拡張)には何が使われているか把握されていますでしょうか。このあたりは、セキュリティルールの策定と周知がまずは第一歩となりますが、さらに踏み込んだ対策にはシステム的な制御が必要となります。
2022年後半から今年に入り、最近、欧米を中心にマルバタイジングが再び流行しているという公的機関の文献や、セキュリティフリークのSNS投稿を多くみかけるようになりました。
マルバタイジングが日本国内で再流行するのも時間の問題かもしれません。
ディアイティでは、今回のニュースレターでご紹介したようなマルバタイジングの他、あらゆる脅威を検知し、防御するための知見を蓄積し社会に展開しています。
ちょっとしたお悩みでも是非ご相談ください。
【参考文献】
・Cyber Criminals Impersonating Brands Using Search Engine Advertisement Services to Defraud Users
https://www.ic3.gov/Media/Y2022/PSA221221
・A surge of malvertising across Google Ads is distributing dangerous malware
https://www.spamhaus.com/resource-center/a-surge-of-malvertising-across-google-ads-is-distributing-dangerous-malware/
【関連ソリューション】
- ・ https://www.dit.co.jp/service/security/monitoring/edr/
- ・ https://www.dit.co.jp/products/forcepoint/wsc/
- ・ hhttps://www.dit.co.jp/products/fortinet/fortigate/
【マネージドEDRサービス(CSIRT Cloud with CrowdStrike)】
EDR製品の中で最高峰。サイバー攻撃による不審な振る舞いを逃しません
【Forcepoint™ Web Security Cloud】
社内外・地域を問わない安全なインターネットアクセスを提供します
【FortiGate】
世界6か所にセキュリティ研究所を設置・監視し、最新の脅威シグネチャを迅速に配信し保護します