編集部からのお知らせ
量子コンピューティングへの注目
特集まとめ:高まるCISOの重要性

グーグル広告を悪用したマルウェア配布--メール利用からの移行をMSが指摘

Liam Tung (Special to ZDNet.com) 翻訳校正: 編集部

2021-09-27 11:31

 Microsoftは、ランサムウェアの配布に使われることが多いマルウェアである「Zloader」の拡散に、悪質なGoogle広告が使われていると発表した。

 このマルウェアはサイバー犯罪界で重要な役割を果たしており、最近になってMicrosoftや米サイバーセキュリティインフラセキュリティ庁(CISA)が、相次いでこのマルウェアに関する警告を発している。

 CISAは米国時間9月23日に、ZLoaderがランサムウェア「Conti」の配布に使われているというアラートを発表した。

 ZLoaderはバンキング型のトロイの木馬で、ウェブインジェクションを利用してクッキーやパスワードなどの秘密情報を盗む。また、セキュリティ企業のSentinelOneによれば、ZLoaderはランサムウェアの配布にも使用されており、バックドア機能やほかの形態のマルウェアをインストールする機能も備えている。

 Microsoftは今回、ZLoaderを運用している攻撃グループが、さまざまなマルウェアの配布にGoogleのキーワード広告を利用していることを明らかにした。配布されているマルウェアには、ランサムウェアの「Ryuk」も含まれている。

 この手口自体は新しいものではないが、非常に多くの人がGoogleを使っているため、Google広告を使ってユーザーを悪質なドメインに誘導するリンクを配布する手段は注目に値する。

 Microsoftは、「9月上旬にZLoaderのキャンペーンを分析したところ、配布手段に大きな変化があり、従来のメールを使用した手法から、オンライン広告プラットフォームを悪用した方法に移行していることが明らかになった。攻撃者は、広告を購入し、正規のインストーラーを装ったマルウェアをホストしているウェブサイトに誘導している」と述べている

 同社は、「この攻撃キャンペーンでは『Google広告』が使用されている。『Microsoft 365 Defender』は、悪質なサイト、行動、ペイロードをブロックすることによって顧客を保護しているが、当社は責任をもって調査結果をGoogleに通報した。この脅威に関連する活動はこの数日間で減少したが、今後も引き続き動向を監視していく」と付け加えている。

 攻撃者は、悪質なファイルに暗号署名を付与するために虚偽の企業を登録して、正規のJavaアプリをインストールすると見せかけてZLoaderを配布し、対象デバイスへのアクセスを獲得している。アプリに署名することで、マルウェア対策システムによる検知も回避しやすくなる。

 Microsoftは、ZLoarderのビジネスエコシステムが成熟してきていることを強調した。

 同社は「このキャンペーンの運営者は、獲得したアクセス手段を他の攻撃者に販売することができ、購入した攻撃者はこれを『Cobalt Strike』やランサムウェアの展開といった自分たちの目的に使うことができる」と指摘している。

 セキュリティ企業のSentinalによれば、このマルウェアキャンペーンは主にオーストラリアとドイツの銀行の顧客を対象としている。このマルウェアは、「Windows 10」に搭載されている「Windows Defender」のすべてのマルウェア対策モジュールを無効にする機能を備えている。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]