Malwarebytesはこのほど、「Google ad for Facebook redirects to scam|Malwarebytes」において、Google検索から「facebook」を検索すると悪意のあるFacebook広告が表示されると警告した。この広告はクローキングを使用しており、攻撃可能と判断したユーザーをフィッシングサイトに誘導するとされる。

  • Google ad for Facebook redirects to scam|Malwarebytes

    Google ad for Facebook redirects to scam|Malwarebytes

悪意のある広告

今回確認された悪意のある広告は、Google検索から「facebook」を検索すると上位に表示されるという。この広告は外見上不審な点はなく、facebook.comの正規の広告のように見える。しかしながら広告主の情報を表示すると、香港を所在地とする「Yojoy Network Technology Co., Limited」の広告と表示され、本来表示されるべき「Meta Platforms, Inc.」ではないことがわかる。なお、広告主の情報も詐称の可能性がある点に注意。

  • 悪意のある広告の例 - 引用:Malwarebytesの動画より抜粋

    悪意のある広告の例 引用:Malwarebytesの動画より抜粋

この広告をクリックすると「Microsoft Windows Security Center」と称するダイアログが表示され、脅威を検出したとして表示の電話番号に連絡するように求められる。このような広告詐欺の電話番号に連絡すると、Microsoftサポートを装った詐欺師と会話することになり、リモートからサポートすると偽ってバックドアを設置されたり、サポート料金として金銭を要求されることがある。

  • フィッシングサイトの例 - 引用:Malwarebytesの動画より抜粋

    フィッシングサイトの例 引用:Malwarebytesの動画より抜粋

このフィッシングサイトの表示は偽物であり、実際に侵害されたわけではない。このような画面が表示されても落ち着いてブラウザの戻るボタンをクリックするか、またはブラウザを閉じれば問題はない。

クローキング

このマルバタイジング攻撃ではクローキング(アクセスしたユーザーごとに表示を切り替える技術)が使用されている。Malwarebytesの調査によると、人間以外のボットなどのアクセスを検出すると、正規の「facebook.com」へリダイレクトされるという。詐欺師はこの技術を使用してGoogleやセキュリティ企業の調査を回避しているものとみられる。

  • 人間がアクセスした場合の遷移(上)と、ボットがアクセスした場合の遷移(下)の例 - 引用:Malwarebytes

    人間がアクセスした場合の遷移(上)と、ボットがアクセスした場合の遷移(下)の例 引用:Malwarebytes

対策

Malwarebytesはこのような攻撃を回避するために、次のような対策を推奨している。

  • 検索結果のスポンサー表示に注意し、可能であればアクセスしない
  • ブラウザの拡張機能などを使用して広告を完全にブロックする
  • 既知のフィッシングサイトの情報を収集し、詐欺サイトに遭遇しても落ち着いて対処できるように準備する