他人の経費でマルバタイジング

マルバタイジングは、サイバー犯罪者が広告を利用してデバイスをマルウェアに感染させる行為をさす言葉です。
オンラインで目にする広告は多くの人の目に留まりますので、大きな効果を発揮します。
記憶に新しいところでは、「Punycodeでマルバタイジング」や「Bing Chatの会話でマルウェアを拡散」がありました。

通常これまでこういったマルバタイジングは、脅威アクターが仕掛けを用意して、その仕掛けに誘い込むための広告を出す、という構図を取っていました。
このように文字にすると今回の話も同じといえば同じなのですが、少し構図が異なります。
こんな風に進みました。

• 普通のWebコンテンツが公開される
  悪意のない人による、悪意のないコンテンツで構成される、普通のWebコンテンツが作成されて公開されます。
• 運用の問題を悪用される
  その普通のWebコンテンツの運用になにか問題があったのでしょう、そのサイトは侵害されます。
  侵害されてコンテンツを変更されます。
• 変更された内容
  今回の事例では、不正に入手したソフトウェアのライセンスキーの情報を入手できるというようなコンテンツをオーバーレイで表示できる状態に改ざんされてしまいました。
• 動的検索広告による広告
  動的検索広告は、Googleが提供する検索連動型広告の機能の一つです。
  広告主のWebページと関連性の高いキーワードで検索しているユーザーに対して、GoogleがWebサイトの内容から、ユーザーのニーズを満たすであろう広告を自動で生成し、出稿できる広告出稿方法です。
  これは通常の広告主にとっては便利な機能なのですが、これを脅威アクターは勝手に使用します。
  脅威アクターがオーバーレイするようにした内容が動的検索広告によって案内される状態となったのです。
  勝手に使用といっても、脅威アクターが動的検索広告を能動的に使用したわけではありません。
  あくまでも、動的検索広告の通常の動作として、コンテンツが自動的に案内される状態となりました。
• ソフトウェアのライセンスキーを入手したい人が広告をクリックする
  ライセンスキーを入手したい人のうちのいくらかの割合の人が、こういった流れで生成された広告をクリックします。
  すると、どうなるでしょう。
  ライセンスキーを入手しようとした人には、マルウェアが届けられます。
  ライセンスキーとして入手されたものは、マルウェアのスターターキットでした。
  一方、元のWebコンテンツの所有者の方はいかがでしょうか。
  広告に従って動作した機構が利用されましたので、広告費用を請求されることになります。

ライセンスキーを入手したい人は、正規の方法で購入するべきです。
Webコンテンツを公開する際には、必要な運用を実施することが必要です。
Webコンテンツの公開に限った話ではありませんが。

効果は大きく、経費は小さく、という形式が実現されてしまっている事例でした。

参考記事（外部リンク）：Malvertising via Dynamic Search Ads delivers malware
bonanza
www.malwarebytes.com/blog/threat-intelligence/2023/10/malvertising-via-dynamic-search-ads-delivers-malware-bonanza