最近、セキュリティメディアのBleeping ComputerではGoogle検索広告フィッシングを対象としてBitwardenのパスワードウォールがターゲットになり、多くの人がそのGoogle広告フィッシングで資格証明を盗用されたという記事が発行されました。その他にも今までGoogle広告を悪用して検索エンジンのユーザーにフィッシング、詐欺の被害を与えた多くのフィッシング攻撃事件がありましたが、あまりにも精密に作られたフィッシングサイトは適当な対策がないまま、続いてGoogle検索結果の上位に表示されています。
メタマスクの Google広告フィッシングサイト
仮想通貨ウォレットサービスのメタマスク(MetaMask)は、月3百万人以上が訪問する人気の仮想通貨サービスです。そして多くのユーザーはメタマスクのウェブサイトにアクセスするためにGoogle検索エンジンを利用します。Googleに「メタマスク」とか「メタマスクウォレット」などに検索すると、メタマスクの公式オンラインウェブサイトが表示されると当たり前に思うのが普通です。もし、上位に表示されたサイトが全然違うタイトル・説明を掲げているとしたら、スクロールしてユーザー自身がアクセスしたいウェブサイトを直接選べば良いが、実際のサイトと同じタイトル・説明で表示された検索結果が現れたらどうでしょう。
実際にメタマスクのGoogle広告フィッシング事件は2020年から何件か報告されてきました。攻撃者はフィッシングサイトの広告がブロックされたら、しばらく後でまた新たなドメインで再び広告を露出させる方法で攻撃を続けています。今度発見したメタマスクのGoogle広告フィッシングの事例は韓国のGoogle検索結果でした。画像のように「메타 마스크」というキーワードをGoogleの検索ボックスに入力すると、検索結果の一番上にAdの表示とともにメタマスクのTitleになったウェブサイトが見えます。
Google広告が一番目に見える
Googleの使用者は、メタマスクにアクセスするために疑いなく一番上に表示されたサイトをクリックするはずです。実際にこのウェブサイトへアクセスすると、次のようなメタマスク公式ウェブサイトに見えるサイトにアクセスされます。
メタマスクの類似ウェブサイトにアクセスした画面
Google広告をクリックしてユーザーがアクセスした後、変なところを見つけ出せるでしょうか。それはたぶん無理です。実際のメタマスクのウェブサイトと比べてファビコン、タイトル、ウェブUI/UXの全てが実際のサイトと同じく作られているためです。
たった一つ、実際のウェブサイトと違うしかないところがURLアドレスです。Google広告フィッシングサイトで作られたURLは実際のウェブサイトと最大限同じようにみえるため mètamaśk[.]com というURLを使用しました。一見すると、実際のウェブサイトのURLであるmetamask.ioと区別するのは難しいですが、詳しく見ると「e」と 「s」 の代わりに 'è', 'ś'を使ってもっともらしく偽造しました。
Google広告フィッシングサイト を見分ける方法
上のメタマスクのGoogle広告フィッシングサイトの事例のように、フィッシング攻撃者はGoogle広告をフィッシング攻撃に積極的に悪用しています。Googleの上段に表示されたもっともらしいフィッシングサイトを見分けるために直接アクセスしてURLのような複製不可能な要素を比較する方法もありますが、Criminal IPのようなURLスキャナーを使用した方がもっと正確です。
Criminal IPのドメイン検索 にGoogle広告フィッシングサイトで明らかになったメタマスクの偽URL、mètamaśk[.]com を検索してみました。
mètamaśk[.]com スキャン結果
▶ https://www.criminalip.io/ja/domain/report?scan_id=3043175
フィッシングサイトに検知される
Google検索広告に露出されたメタマスクフィッシングサイトをスキャンした結果、危険レベルの数値は99%と検知され、フィッシングの確率は75%です。さらに、このドメインはフィッシング攻撃のために最近作られたドメインのようにみえます。
また、アクセスしなくてもフィッシングサイトのスクリーンショットを確認できます。たとえこのドメインの場合は悪性ヒストリが知られていないIPアドレスに繋がっているが、ほとんどのフィッシングサイトは繋がったIPアドレスも悪性の場合が多いです。
Google広告の上段に表示されたウェブサイトにアクセスする前には Criminal IP のようなURLスキャナーにフィッシング可否を検知してみた方が安全であり、アクセスするだけでもランサムウェアなどの悪性コードがダウンロードされることがあるので注意が必要です。
Google広告を悪用した他のサイバー攻撃:Google Ads管理者招待のスパムメール
Googleの広告を悪用する他のサイバー攻撃があります。Google Ads管理者の招待メールを悪用した方法です。
正常的なGoogle Adsの広告主は共同管理者を招待するために招待の対象のGmailアドレスに次のような招待メールを送ります。攻撃者はこれを悪用し、悪性ウェブサイト(今度の事例ではアダルトサイトです)を広告するウェブサイトに登録し、不特定多数に管理者招待のメールを送信します。管理者招待メールの発信者は「Google Ads ads-account-noreply@google.com」に設定されてあるため、Gmailのスパムフィルターをバイパスして正常的に受信箱に受信されます。なので、メールを受けた人は実際にGoogle広告管理者に招待されたと思い、スパムリンクにアクセスするようになるのです。企業で働く人は実際のGoogle広告を執行しているため、このような攻撃方式に被害を受ける可能性が高いです。
上のスパムメールに使われたリンクもドメイン検索にスキャンすると、アクセスせずにウェブサイトの悪性可否を点検できます。
このサイトはアダルトサイトに見え、攻撃者はGoogle Ads管理者の招待メールを悪用してアダルトサイトを広報するか、接続者の個人情報を収集しようとしたようにみえます。
Google広告フィッシング攻撃を予防するためには
ある場合、Google広告フィッシング攻撃を予防するためにGoogle広告ブロックプログラム、いわゆる「アドブロック(AdBlock)」を使用することもあります。
いい方法ではあるが、全ての人にGoogle広告を任意でブロックするよう要求するわけにはいきません。また、根本的な解決策は広告主と消費者みんなが安全に広告プラットフォームを使用できるようGoogleがスパム及びフィッシングに対する検閲を強化するしかないでしょう。
関連しては ハッカー向けたまごっちFlipper Zeroのフィッシングサイトを検知する方法についての投稿 をご参照ください。
0コメント