Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

テクニカルサポート詐欺攻撃

ホームデポのGoogle広告経由でのサポート詐欺の攻撃が観測された様です。

www.bleepingcomputer.com

昨日、BleepingComputerは、現在Google検索のトップに表示されている悪意のあるホームデポの広告に堕ちた誰かから通知を受けました。

テストとして、BleepingComputerは「ホームデポ」を検索し、最初の試行で悪意のある広告が表示されました。さらに悪いことに、広告は調査結果のトップスポットであり、クリックされる可能性が高くなります。

(BleepingComputer記事より引用)※機械翻訳

 

キタきつねの所感

Google検索の右側の広告欄に怪しげな広告が貼られている事はたまに見かけてましたが、今回BleepingComputerの独占記事で載せられていた画像を見ると、左側のページに掲載されている広告をクリックすると、様々な広告サービスを介してテクニカルサポート詐欺にリダイレクトされる攻撃だった様です。

 

BleepingComputeの記事から画像を引用しますが、この上側の広告は、表示URLも本物ですがクリックすると、

最終的にマイクロソフトの偽テクニカルサポートページ(詐欺サイト)にリダイレクトされ、そこでは偽のテクニカルサポートのポップアップが出てくる様です。そこでは、”印刷”ダイヤログが繰り返し開く様になっており、騙された訪問者が簡単にページを閉じさせなくする目に遭う様です。

 Google検索のホームデポ広告

ここで表示されるポップアップに表示されている電話番号にかけると、詐欺に騙される(変なソフトを言われるがままDLさせられる、パッケージソフト購入代金を支払う事を要求される等)攻撃だった様です。

※以下もBleepingComputeの記事から画像を引用

ホームデポの広告をクリックすると表示されるテクニカルサポート詐欺

 

(以下過分に想像を含みます)

今回の偽ポップアップが出てくる攻撃ですが、私は大元のGoogle表示=Home Depotの広告は本物だったかと思います

誤解を恐れずに言えば、Home Depotの広告配信の部分が意図せず侵害されたのではないかと推測します。

企業は広告配信をCMS等で管理しているかと思いますが、広告配信先は把握していても、そこで流れる広告(更に先の配信先)までは管理しきれてない事があり、ここに不正プログラムを仕込まれる脆弱性があった気がします。

CMSを狙った攻撃例は以前から出てきており、カード情報漏えい事件では確かAdverlineの事件がこうした手口だったと思います。

昨年はUltraRankの攻撃が報告されており、今回の事件との関係性は分かりませんが、こうしたCMS/CDN(の脆弱性)を狙った攻撃には日本企業も留意が必要かと思います。

foxsecurity.hatenablog.com

 

※尚、自分の環境でも検索してみましたが、日本からのアクセスには反応しない設定だったからか、特に怪しげな広告は出てきませんでした。

f:id:foxcafelate:20210131095355p:plain

 

 

余談です。Twitterは一昨日~昨日にかけて私でも気づく位、”異様”な盛り上がりを見せておりました。著名なゲームである艦これファンのやり取りを発端に、メガバンクのソースコード(の一部)が流出するインシデントに発展した経緯が気になり、数時間ほど、経緯の投稿(関連コメント)や関連記事を読んでいたのですが、影響範囲が多岐に渡り、きちんと考えるべき事が多いと思うので、すぐに記事にするのは難しいと判断しました。

性善説運用、多重下請け構造守秘義務GitHub利用、ソースコード著作権SNS炎上(と身バレ)、テレワーク、年収推定のソースコード判定ソフト、ソースコード管理(大元)、インシデント対応・・・等々、”インシデント”の影響を受けて急遽トバッチリを受けるSE、プログラマー、IT部門の方々が多くなりそうな事を考えると、気軽に”所感”記事を書くのは適切ではない気がしております。

※社内や一部のクライアントからは原因や対策の問い合わせが週明けにありそうな気もしますが・・・

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

「広告チラシお断り!」のイラスト文字

更新履歴

  • 2021年1月31日 AM