検索結果の「広告」枠に罠、業務ソフトを装うマルバタイジング攻撃が急増

背景

GoogleやBingなどの検索エンジンを利用して、業務に必要なソフトウェアやツールをダウンロードすることは日常的な業務風景です。しかし、攻撃者が検索エンジンの広告枠（スポンサードサーチ）を悪用し、正規のソフトウェアに見せかけたマルウェア配布サイトを検索結果の最上位に表示させる「マルバタイジング（Malvertising）」攻撃が急増しています。また、SEO（検索エンジン最適化）技術を悪用して、悪意あるサイトを自然検索の上位に表示させる「SEOポイズニング」も横行しています。ユーザーは「検索上位＝信頼できる公式サイト」と思い込む心理があるため、自ら進んでマルウェアをダウンロードしてしまい、従来の境界防御やメールセキュリティをすり抜けて感染する事例が多発しています。

実態

攻撃者は、「Zoom」「Microsoft Teams」「AnyDesk」「TeamViewer」「Slack」といった、企業で広く利用されているソフトウェアの名称をキーワードとして広告枠を購入します。ユーザーがこれらのキーワードで検索すると、検索結果の最上部に「広告」として攻撃者のサイトが表示されます。この偽サイトは、正規サイトのデザイン、ロゴ、ドメイン名（タイポスクワッティング）を精巧に模倣しており、ユーザーが見分けることは極めて困難です。「ダウンロード」ボタンをクリックすると、正規のインストーラーに見せかけたマルウェア（GootLoader、IcedID、BatLoaderなど）がダウンロードされます。これらは実行されると、バックドアを開設したり、ランサムウェアを展開したりするための初期侵入ツールとして機能します。また、SEOポイズニングでは、企業の雛形ファイルやマニュアルなどを探しているユーザーを狙い、検索キーワードに特化した偽のPDFやExcelファイルを配布するサイトへ誘導する手口も確認されています。

影響と対策

この攻撃の最大の問題は、ユーザーが「能動的に」検索してアクセスするため、不審なメールを開く場合と比べて警戒心が著しく低いことです。感染すると、ID・パスワードの窃取、社内ネットワークへの侵入、ランサムウェア感染につながります。対策としては、まず「広告ブロッカー」の導入や、ブラウザのセキュリティ設定強化が有効ですが、業務への影響を考慮する必要があります。より根本的な対策として、FortiGateやCheck PointのWebフィルタリング機能を活用し、新しく登録されたばかりのドメイン（新規ドメイン）や、カテゴリ分類されていないドメインへのアクセスを一時的にブロックする設定が極めて有効です。攻撃用サイトは短命であるため、この設定で多くの攻撃を防げます。また、エンドポイントセキュリティ（EDR）を導入し、ダウンロードされたファイルのハッシュ値や振る舞いを解析することで、実行前にマルウェアを検知・隔離します。さらに、従業員教育として「検索結果の『広告』タグが付いたリンクはクリックせず、必ずオーガニック検索（自然検索）の結果や、ブックマークから公式サイトにアクセスする」習慣を徹底させることが重要です。

まとめ

検索エンジンは便利なツールですが、攻撃者にとっても効率的な集客ツールとなっています。「検索上位だから安全」という神話は崩壊しており、Webアクセスにおけるゼロトラストの視点が必要です。PSIでは、ネットワーク製品による悪性Webサイトへのアクセス制御と、EDRによるエンドポイント保護を組み合わせ、検索エンジン経由の脅威から企業の端末を守る多層防御ソリューションをご提案いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp