Ameba Ownd

アプリで簡単、無料ホームページ作成

【公式】Criminal IP Japanブログ

Google広告フィッシングサイトを検閲する方法(メタマスク・フィッシングサイト)

2023.02.02 20:33
世界中の検索エンジンマーケットの92%を占めているGoogleは、唯一無二な検索アルゴリズムで多くのインターネット使用者が利用しています。Googleの高度化されたアルゴリズムによって検索結果の上段に現れるウェブサイトに、その検索語によって1日で数万・数百万のGoogle検索エンジンユーザーが訪問します。Googleはできるだけ悪性またはフィッシングサイトを上位表示から排除するためにアルゴリズムを改善していますが、それにも関わらず、サイバー攻撃者は最大限多くの被害者が悪性ウェブサイトに訪問できるようにGoogleの掲載順位ロジックを巧妙に悪用します。その中でもGoogle広告(Google Ads)を悪用したフィッシング、悪性ウェブサイト攻撃は続いて提起される悪質的な攻撃の手口です。


最近、セキュリティメディアのBleeping ComputerではGoogle検索広告フィッシングを対象としてBitwardenのパスワードウォールがターゲットになり、多くの人がそのGoogle広告フィッシングで資格証明を盗用されたという記事が発行されました。その他にも今までGoogle広告を悪用して検索エンジンのユーザーにフィッシング、詐欺の被害を与えた多くのフィッシング攻撃事件がありましたが、あまりにも精密に作られたフィッシングサイトは適当な対策がないまま、続いてGoogle検索結果の上位に表示されています。



メタマスクの Google広告フィッシングサイト


仮想通貨ウォレットサービスのメタマスク(MetaMask)は、月3百万人以上が訪問する人気の仮想通貨サービスです。そして多くのユーザーはメタマスクのウェブサイトにアクセスするためにGoogle検索エンジンを利用します。Googleに「メタマスク」とか「メタマスクウォレット」などに検索すると、メタマスクの公式オンラインウェブサイトが表示されると当たり前に思うのが普通です。もし、上位に表示されたサイトが全然違うタイトル・説明を掲げているとしたら、スクロールしてユーザー自身がアクセスしたいウェブサイトを直接選べば良いが、実際のサイトと同じタイトル・説明で表示された検索結果が現れたらどうでしょう。


実際にメタマスクのGoogle広告フィッシング事件は2020年から何件か報告されてきました。攻撃者はフィッシングサイトの広告がブロックされたら、しばらく後でまた新たなドメインで再び広告を露出させる方法で攻撃を続けています。今度発見したメタマスクのGoogle広告フィッシングの事例は韓国のGoogle検索結果でした。画像のように「메타 마스크」というキーワードをGoogleの検索ボックスに入力すると、検索結果の一番上にAdの表示とともにメタマスクのTitleになったウェブサイトが見えます。

韓国のGoogle検索ボックスに「메타 마스크」で検索した結果、
Google広告が一番目に見える


Googleの使用者は、メタマスクにアクセスするために疑いなく一番上に表示されたサイトをクリックするはずです。実際にこのウェブサイトへアクセスすると、次のようなメタマスク公式ウェブサイトに見えるサイトにアクセスされます。

Google検索結果の一番上位に表示された
メタマスクの類似ウェブサイトにアクセスした画面


Google広告をクリックしてユーザーがアクセスした後、変なところを見つけ出せるでしょうか。それはたぶん無理です。実際のメタマスクのウェブサイトと比べてファビコン、タイトル、ウェブUI/UXの全てが実際のサイトと同じく作られているためです。


たった一つ、実際のウェブサイトと違うしかないところがURLアドレスです。Google広告フィッシングサイトで作られたURLは実際のウェブサイトと最大限同じようにみえるため mètamaśk[.]com というURLを使用しました。一見すると、実際のウェブサイトのURLであるmetamask.ioと区別するのは難しいですが、詳しく見ると「e」と 「s」 の代わりに 'è', 'ś'を使ってもっともらしく偽造しました。



Google広告フィッシングサイト を見分ける方法


上のメタマスクのGoogle広告フィッシングサイトの事例のように、フィッシング攻撃者はGoogle広告をフィッシング攻撃に積極的に悪用しています。Googleの上段に表示されたもっともらしいフィッシングサイトを見分けるために直接アクセスしてURLのような複製不可能な要素を比較する方法もありますが、Criminal IPのようなURLスキャナーを使用した方がもっと正確です。


Criminal IPのドメイン検索 にGoogle広告フィッシングサイトで明らかになったメタマスクの偽URL、mètamaśk[.]com を検索してみました。


mètamaśk[.]com スキャン結果
▶ https://www.criminalip.io/ja/domain/report?scan_id=3043175

メタマスクフィッシングサイトのCriminal IPドメイン検索の結果、
フィッシングサイトに検知される


Google検索広告に露出されたメタマスクフィッシングサイトをスキャンした結果、危険レベルの数値は99%と検知され、フィッシングの確率は75%です。さらに、このドメインはフィッシング攻撃のために最近作られたドメインのようにみえます。

メタマスクフィッシングサイトのスクリーンショット


また、アクセスしなくてもフィッシングサイトのスクリーンショットを確認できます。たとえこのドメインの場合は悪性ヒストリが知られていないIPアドレスに繋がっているが、ほとんどのフィッシングサイトは繋がったIPアドレスも悪性の場合が多いです。


Google広告の上段に表示されたウェブサイトにアクセスする前には Criminal IP のようなURLスキャナーにフィッシング可否を検知してみた方が安全であり、アクセスするだけでもランサムウェアなどの悪性コードがダウンロードされることがあるので注意が必要です。



Google広告を悪用した他のサイバー攻撃:Google Ads管理者招待のスパムメール


Googleの広告を悪用する他のサイバー攻撃があります。Google Ads管理者の招待メールを悪用した方法です。


正常的なGoogle Adsの広告主は共同管理者を招待するために招待の対象のGmailアドレスに次のような招待メールを送ります。攻撃者はこれを悪用し、悪性ウェブサイト(今度の事例ではアダルトサイトです)を広告するウェブサイトに登録し、不特定多数に管理者招待のメールを送信します。管理者招待メールの発信者は「Google Ads ads-account-noreply@google.com」に設定されてあるため、Gmailのスパムフィルターをバイパスして正常的に受信箱に受信されます。なので、メールを受けた人は実際にGoogle広告管理者に招待されたと思い、スパムリンクにアクセスするようになるのです。企業で働く人は実際のGoogle広告を執行しているため、このような攻撃方式に被害を受ける可能性が高いです。

Google Ads広告主の招待メールを悪用したスパムメール


上のスパムメールに使われたリンクもドメイン検索にスキャンすると、アクセスせずにウェブサイトの悪性可否を点検できます。

Criminal IPドメイン検索にGoogle広告主のスパムメールのリンクを検索した結果


このサイトはアダルトサイトに見え、攻撃者はGoogle Ads管理者の招待メールを悪用してアダルトサイトを広報するか、接続者の個人情報を収集しようとしたようにみえます。



Google広告フィッシング攻撃を予防するためには


ある場合、Google広告フィッシング攻撃を予防するためにGoogle広告ブロックプログラム、いわゆる「アドブロック(AdBlock)」を使用することもあります。


いい方法ではあるが、全ての人にGoogle広告を任意でブロックするよう要求するわけにはいきません。また、根本的な解決策は広告主と消費者みんなが安全に広告プラットフォームを使用できるようGoogleがスパム及びフィッシングに対する検閲を強化するしかないでしょう。


できるだけフィッシング及びスパムの攻撃を独自的に予防するためには、Criminal IPのようなリアルタイムURLスキャナー、ウェブサイト点検ツールの利用をお勧めします。