Google検索から偽のAWSログインページに誘導、マルバタイジングに注意

Google広告を悪用して偽のAWSログインページに誘導するマルバタイジングキャンペーンが見つかった。ユーザーが目視で見破ることは難しいため、注意が必要だ。

[後藤大地，有限会社オングス]

　セキュリティ企業のSentinelOneは2023年2月9日（現地時間）、Google広告を利用したマルバタイジングキャンペーンが展開されていると報告した。特に最近観測されたGoogle広告に偽の「Amazon Web Services」（AWS）ログインページを表示させる手法が取り上げられている。

　サイバー攻撃は「Google広告」の運用者も防止が難しく、ユーザーにとっても管理者にとっても厄介な問題であることが指摘されている。

SentinelOneは偽のAWSログインページを表示する攻撃手法について解説した（出典：SentinelOneのWebサイト）

Google広告を使って偽のAWSログインに誘導する手口とは？

　悪意あるWeb広告を利用してユーザーをフィッシング詐欺サイトなどに誘導する手口を「マルバタイジング」と呼ぶ。最近はこのマルバタイジングにGoogle広告が悪用されるケースが増加している。検索エンジン「Google Chrome」は世界でもっとも多くのシェアを持ち（注）、ユーザーが検索結果を信頼しやすいという特徴がある。ユーザーは検索結果に悪意ある広告が含まれているとは気付かずにこうした詐欺の被害に遭う可能性がある。

　今回SentinelOneが報告したのはGoogle広告から偽のAWSログインページに誘導手法だ。以下の手順を踏むことでGoogle検索に悪意ある広告を表示させ、そこからユーザーを偽のAWSログインページに誘導している。

（注）世界における検索エンジンのシェアの推移（総務省）

1. ユーザーがGoogle検索エンジンで「AWS」を検索する
2. 「AWS - Console - Home Oficial」という悪意ある広告が表示される。ユーザーが勘違いしてこの広告をクリックする
3. 広告のリンク先はGoogleのブログ（Blogger）になっている。偽のブログだが正規のブログから内容をコピーして作成したものになっている
4. リンク先のブログサイトはリダイレクトのためのフェイクページであり、自動的にAWSの偽ログインページにリダイレクトされる
5. 偽のAWSログインページで認証データを入力すると正規のAWSのサイトにリダイレクトされる

　URLは巧妙に正規のものを模したものが使われており、ユーザーが目視でこうしたサイバー攻撃を見破るのは困難になってきている。

　SentinelOneはこうしたサイバー攻撃の急増について、一般的なユーザーだけでなくネットワークおよびクラウド管理者にとっても深刻な脅威になるとし、多くのユーザーに広告が表示されてしまうことから注意を呼び掛けている。