Googleでフィッシングファイルのダウンロード数が年間450％増加した理由

GoogleとBingにおける、フィッシングファイルのダウンロード数が年間で450％増加した。Web検索時に気付かないうちに脅威アクターをダウンロードしてしまう仕組みを紹介する。

[Matt Kapko，Cybersecurity Dive]

　セキュリティ企業のNetskopeは、GoogleとBingのフィッシングファイルのダウンロード数が、年間で450％増加したと発表した。この結果は、Netskopeが2021年4月1日から2022年3月31日までの12カ月間に、同社の安全なWebゲートウェイを使用した数百万人規模の顧客を対象に実施した調査を基に算出された。

気付かず脅威アクターをダウンロードする仕組み

　Netskopeによると、サイバー攻撃者が悪意のあるPDFファイルをGoogleやBingの検索上位に押し上げるSEO戦術が、フィッシングダウンロード増加の主な原因になっている。

　Netskopeのサイバー攻撃リサーチディレクターであるレイ・カンザネーゼ氏は「昔からある手法だが、ついにそのレシピが解明されたようだ。これほど大規模な変化は、誰かが賢く粘り強く、武器化する方法を見つけ出そうしているときに起きる」と言う。

　マルウェアやフィッシングファイルのダウンロードによって、企業の重要データが危険にさらされる恐れがある。サイバー犯罪者が無防備な従業員を誘惑し、特権的な情報を共有して重要なインフラへ不正にアクセスし、事業活動を危険にさらす。

　悪意のあるPDFは全て類似しており、1つのグループまたは個人によって作られた可能性がある。Netskopeによると、悪意のあるPDFの3ページ目または4ページ目に、Webでよく検索されるキーワードが多く表示されるという。

　カンザネーゼ氏は「この手口は画期的なものではない。しかし、悪意のあるファイルの量と、脅威アクターがコンテンツを送りつける執拗さが問題だ」と述べている。同じURLで同じPDFが複数回表示されることはほとんどなく、PDFの多くは無料のWebサイトホスティングサービスに保存され、異なる言語で複数の場所に複製されるという。

　Netskopeは、攻撃を仕掛けているグループまたは個人が存在することを多くのクライアントに示す取り組みをしている。同社はこれらの発見を検索エンジンやホスティングサイトに継続的に報告し、ページを検索結果から削除するよう働きかけている。

　GoogleとBingでの検出が目立つのは、Netskopeの顧客が好んで使用する検索エンジンを反映したものであり、最も人気のある検索エンジンのみを対象としたキャンペーンである証拠はない。

　またWebトラフィック解析をするStatCounterのデータによると、Googleは世界で利用されている検索エンジンで、検索エンジンのトラフィックの92％を占めているという。第2位の検索エンジンであるBingは、トラフィックの3％を占めている。

出典：SEO-savvy threat actors drive surge in malware downloads（Cybersecurity Dive）