サイバー攻撃者がBing広告を利用して偽のMicrosoft Teamsダウンロードページにユーザーを誘導し、マルウェアを配布する新たな手口が明らかとなった。2025年1月20日に登録された短命のドメインを用い、正規サイトを模倣する形で攻撃が展開され、被害者のデバイスに持続的な感染を確立する仕組みが確認されている。

悪意ある広告はMicrosoft Teamsのみならず、他の人気ソフトウェアにも影響を及ぼす可能性が指摘されており、信頼性の高い検索エンジンを用いる際でもリスク回避の重要性が浮き彫りになっている。ユーザーと組織には、URLの確認や公式サイトからのダウンロード、エンドポイント監視ツールの活用といった具体的なセキュリティ対策が求められる。

Bing広告を悪用した新たなサイバー攻撃の手法とその特徴

Unit 42の研究者であるBradley Duncan氏とZach Diehl氏が指摘するように、今回の攻撃はBing広告を巧妙に悪用している点が注目に値する。攻撃者はMicrosoft Teamsを模倣した偽のダウンロードページを作成し、検索エンジン広告の正規性を利用してユーザーを巧みに誘導している。

特に、ドメインが1月20日に登録され、1月22日には悪意ある広告が確認されたという迅速な展開は、短命のインフラを使ったサイバー攻撃の典型例である。この手法の鍵は、短期間のうちに多くの被害者を引き込む点にある。

ユーザーは広告の外見上の信頼性から偽サイトに誘導され、結果としてマルウェアの被害を受ける。攻撃者が採用した「burleson-appliance[.]net」や「microsoft.teams-live[.]com」といったドメインは、一見正規のサイトに見えるよう巧妙に設計されている。

これらの特徴は、従来のフィッシング攻撃と比較しても、より洗練されたアプローチである。ただし、この攻撃の本質は、信頼性の高い検索エンジンプラットフォームが持つセキュリティ上の盲点をついている点であり、ユーザーや企業が対策を講じる必要がある。

マルウェアの感染手法と持続性を確立する巧妙な仕組み

攻撃者は、偽のMicrosoft Teamsページで配布される「application_setup.js」というファイルをダウンロードさせ、これを入口としてマルウェアの感染を広げた。このJavaScriptファイルは一見無害であるが、背後には追加の悪意あるペイロードをダウンロードする仕組みが潜んでいる。

さらに、「5.252.153[.]241」というC2サーバーに接続し、PowerShellスクリプトやDLLファイルといった複数の形式のマルウェアを取得している。この感染手法の中核にあるのは、Windowsのスタートアップディレクトリにショートカットを作成することで持続性を確保する点である。

TeamViewerのショートカットに偽装するなど、一般的なシステムファイルに見せかけることでユーザーの疑念を回避している。このような手口により、感染したマシンはシステム起動時に必ずマルウェアを実行する仕組みが完成する。

感染の持続性を確立するこの仕組みは、単なる一時的な攻撃ではなく、長期的な影響をもたらす可能性を示唆している。個人のデバイスだけでなく、組織全体への波及効果が懸念される。

Bing広告悪用問題が示す今後の課題とセキュリティ対策の方向性

今回の事例は、Bing広告が攻撃者に悪用されたという点で、従来のサイバー攻撃とは異なる新たなリスクを提示している。特に、検索エンジン広告という正規性を帯びた手段が、セキュリティ対策の盲点を突く形で使われたことは重大である。

MicrosoftやGoogleといった主要な検索エンジンプロバイダーには、広告審査の厳格化が求められる。一方で、ユーザー側の意識向上も不可欠である。例えば、公式サイトのURLを直接入力する習慣を身につけることや、クリックする前にリンクの正確性を確認することは、攻撃を防ぐ基本的な手段である。

また、エンドポイント監視ツールや脅威分析プラットフォームを活用することで、不審な通信やスクリプトを迅速に検出することが可能となる。重要なのは、この種の攻撃が進化を続けている点である。攻撃者の手口がより高度化する中、セキュリティ対策も階層的なアプローチを採用し、単一の対策に頼らない包括的な防御を構築する必要がある。

今回の事例は、今後のサイバーセキュリティ戦略において新たな視点を提供するものである。

Source:Cyber Security News