SentinelOneは、ここ数週間で悪質な検索エンジン広告が増加していると報告しています。研究者らは、SEOポイズニングを利用する攻撃者は、一般的に「社内に十分なブランド保護リソースを持たない組織に関連する人気ダウンロードの検索結果をSEOポイズニングする」ことで、より成功率が高くなると説明しています。
ジャンプ先:
- SEO ポイズニング攻撃とは何ですか?
- Blender 3D SEOポイズニングキャンペーン
- SEOポイズニングペイロード
- 攻撃対象領域の拡大
- この脅威を軽減し、企業の評判を守る方法
SEO ポイズニング攻撃とは何ですか?
SEOポイズニング攻撃は、検索エンジンの検索結果を改ざんし、最初の広告リンクが実際には攻撃者が管理するサイトにつながるように仕向ける攻撃です。一般的には、訪問者にマルウェアを感染させたり、広告詐欺により多くのユーザーを誘導したりすることを目的としています。SentinelOneは、レポートの中で最近のSEOポイズニングキャンペーンの例を挙げています。
参照:モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
Blender 3D SEOポイズニングキャンペーン
オープンソースの3DグラフィックデザインソフトウェアであるBlender 3Dというブランド名をGoogleの検索エンジンで定期的に検索したところ、2023年1月18日に次のような結果が返されました(図A)。
図A
URL をよく読まなかったり、ソフトウェアの正確な URL がわからないユーザーは、攻撃者が管理するドメインのいずれかをクリックし、侵害を受ける可能性があります。
悪意のあるトップ結果 blender-s.org は、Blender の正当な Web サイトのほぼ完全なコピーですが、ダウンロード リンクは blender.org のダウンロードにはつながらず、blender.zip ファイルを配信する DropBox URL につながります。
blenders.org の 2 番目の悪意のある Web サイトも同様です。正規の Blender Web サイトのほぼ完全なコピーが表示されますが、ダウンロード リンクは別の DropBox URL につながり、同様に blender.zip ファイルが配信されます。
3 番目で最後の悪意のある Web サイトも正規の Web サイトのコピーですが、Discord の URL を提供し、blender-3.4.1-windows-x64.zip という名前のファイルを配信します。
SEOポイズニングペイロード
Dropboxからダウンロードされたzipファイルには実行ファイルが含まれています。最初のファイルは、AVG Technologies USA, LLC(図B)からの無効な証明書を示しているため、すぐに疑念を抱かせます。この証明書は、悪名高いRacoon Stealerを含む他のマルウェアでも使用されていることが既に確認されています。
図B
また、zipファイルのサイズは2MB未満ですが、そこから抽出された実行ファイルは500MB近くになる点も特筆に値します。これは、このような大きなファイルを解析しない一部のセキュリティソリューションを回避しようとする試みであると考えられます。
VirusTotal によると、このマルウェアは、ブラウザ、パスワード マネージャ、暗号通貨ウォレットから金融情報、パスワード、閲覧履歴を盗む機能を備えた情報窃盗プログラムである Vidar マルウェア (図 C ) である可能性があります。
図C
2つ目のzipファイルはVirusTotalには知られていませんが、サイズが同じで、最初のファイルから5分後に作成されたため、類似している可能性があります。Discordからダウンロードされた最後のファイルには、おそらくこれも悪意のあるISOファイルが含まれています。
攻撃対象領域の拡大
SentinelOne の研究者によると、最初の 2 つの悪意のある Web サイトの背後にいる脅威アクターは、Photoshop やリモート アクセス ソフトウェアなどの一般的なソフトウェアを常に偽装した、他の同様の Web サイトも数十件作成しているとのことです。
これらのウェブサイトはすべて、サイバー犯罪者が利用していたCloudFlareによって迅速にブロックされました。現在、これらの詐欺ウェブサイトに接続しようとするユーザーには、CloudFlareからフィッシングサイトである旨の警告ページが表示されます。
この脅威を軽減し、企業の評判を守る方法
前述の通り、SEOポイズニング攻撃者は、悪意のある活動を実行するために、人気のある商品やブランドになりすますことがよくあります。これはユーザーにとって大きな影響を及ぼします。マルウェアに感染し、データが盗まれる可能性があるからです。また、企業にとっても大きな影響を及ぼします。一般ユーザーはこの種の詐欺行為を理解しておらず、最終的には本物のブランドが犯人だと勘違いしてしまうからです。
非常に人気のある製品やブランドを持つ企業は、自社のブランドに注意を払い、手遅れになる前にそのような詐欺を検出できるセキュリティ ソリューションを導入する必要があります。
まず、組織はインターネット上で登録されるすべての新規ドメインを、自社のブランド名や名称と類似していないか注意深く確認する必要があります。詐欺師は正規のドメイン名と非常に類似したドメイン名を登録することが多いため、ほとんどの場合48時間以内に検知し、状況を即座に分析してリスクを軽減するための対策を講じることができます。
企業は、商標権侵害の存在を正当化できれば、法的な手続きを進めて不正ドメインの移管を求めることができますが、これには時間がかかる可能性があります。その間、不正ドメインに不正コンテンツが表示された場合は、ホスティング会社、レジストラ、またはDNSプロバイダーに連絡して、不正コンテンツへのアクセスを遮断することが考えられます。
最後に、企業は詐欺師による不正行為を防ぐために、正規のドメイン名の異なるバリエーションを予防的に登録することができます。しかし、この方法には労力と費用がかかるため、すべての企業がこの方法を採用するとは限りません。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
