最近特定された詐欺キャンペーンは、Bingの検索広告とMicrosoft Azureのインフラを利用してユーザーを不正なテクニカルサポートページへリダイレクトしており、正規のプラットフォームがソーシャルエンジニアリング活動に悪用され得ることを示しています。
「このテクニカルサポート詐欺キャンペーンは初期段階で大きな影響を与え、短期間のうちに米国の48の異なる組織にわたってユーザーが被害を受けました」と、Netskopeの研究者は述べています。
テクニカルサポート詐欺キャンペーンの内側
このキャンペーンは米国の少なくとも48の組織にわたるユーザーに影響を与えており、医療、製造、テクノロジーなどの業界が被害を受けています。
活動は2026年2月2日に初めて観測され、攻撃者が悪意あるコンテンツを正規に見えるBing検索結果に紛れ込ませる能力を持っていたため、急速に拡大しました。
攻撃チェーンの仕組み
攻撃チェーンは、「Amazon」などの用語を含む著名ブランド名に関する、ユーザーの通常の検索から始まりました。
これらのケースでは、検索結果ページの最上部に目立つ形で悪意あるBing広告が表示され、クリックされる可能性が高まりました。
これらの広告のいずれかをクリックすると、新規登録ドメインであるhighswit[.]spaceへリダイレクトされ、そこには一見空のWordPressサイトがホストされていました。
中継サイトは無害に見えましたが、リダイレクターとして機能することで攻撃において重要な役割を果たしていました。
訪問者は自動的にMicrosoft Azure Blob Storage上でホストされた詐欺ページへ転送され、脅威アクターは信頼されたクラウドインフラを悪用しつつ、トラフィックの最終到達先を隠蔽できました。
詐欺インフラとURLパターン
Netskopeのアナリストは、すべての悪意あるURLが非常に一貫した構造に従っており、標準化された展開プロセスを示していると指摘しました。
各リンクには、ランダム化された文字列で構成されるAzure Blob Storageのコンテナー名、固定のディレクトリパス(werrx01USAHTML/index.html)、および被害者にテクニカルサポートへ電話するよう指示する電話番号パラメータが含まれていました。
キャンペーン全体で複数の電話番号が観測され、1-866-520-2041、1-833-445-4045、1-855-369-0320、1-866-520-2173、1-833-445-3957が含まれていました。これは、同じバックエンドインフラを維持しながら連絡先をローテーションしようとする試みを示しています。
詐欺ページ自体は、正規のMicrosoftセキュリティ警告を非常に忠実に模倣するよう設計されていました。
被害者には、システムがトロイの木馬型スパイウェアに感染している、または重大なセキュリティ脆弱性に見舞われていると主張する、警戒をあおるアラートが表示されました。
これらのメッセージは緊急性と恐怖を生み出すよう意図的に作られており、データ損失やシステム侵害を避けるために直ちに電話するようユーザーに圧力をかけます。これはテクニカルサポート詐欺で確立された手口です。
自動化とキャンペーンのスケーラビリティ
インフラの観点から見ると、このキャンペーンは高い運用成熟度を反映しています。
研究者は、類似した命名規則にランダムな識別子を組み合わせたAzure Blob Storageコンテナーを数十個特定しました。
この手法により、古いコンテナーが削除されても攻撃者は代替の詐欺ページを迅速に展開でき、ダウンタイムを減らしてキャンペーンの有効性を長引かせることができます。
一貫したURL構造は自動化を示しており、キャンペーンが複数の被害者や組織にわたって拡大できるようにしています。
検索ベースの詐欺によるリスク管理
このようなテクニカルサポート詐欺は、従来型のマルウェアやエクスプロイトに依存せずとも、攻撃者が日常的なユーザー行動と信頼されたプラットフォームを巧みに悪用できることを浮き彫りにします。
これらのキャンペーンは通常のWeb活動に紛れ込みやすいため、リスク低減にはユーザーの認知向上、技術的コントロール、運用上の備えを組み合わせる必要があります。
- 教育により、著名ブランドの検索広告をクリックしないようユーザーに促し、代わりにブックマークや手入力したURLで直接アクセスするようにします。
- 新規登録ドメイン、クラウドストレージサービス、または広告ネットワークを含む不審なリダイレクトチェーンについてWebトラフィックを監視します。
- 露出を減らすために、DNSフィルタリング、セキュアWebゲートウェイ、ドメイン年齢に基づくブロックを実装し、短命な詐欺インフラへの接触を減らします。
- 悪意あるスクリプト、偽のセキュリティアラート、欺瞞的なWebコンテンツとの相互作用を制限するため、ブラウザのセキュリティ制御または分離を適用します。
- アプリケーション制御とエンドポイント検知により、リモートアクセスツールの使用を制限し、監視して、詐欺を起点としたシステム乗っ取りを防止します。
- ストレージプラットフォームから提供されるHTMLページを含め、クラウドホストのコンテンツへのアクセスを検査・制御するために、クラウドセキュリティおよびCASBツールを使用します。
- チームがテクニカルサポート詐欺関連のインシデントを迅速に特定・封じ込め・復旧できるよう、インシデント対応計画を定期的にテストします。
これらのコントロールを組み合わせることで、広告主導かつクラウドホスト型の詐欺インフラによって生じるギャップを埋める助けになります。
正規サービスが詐欺を可能にするとき
このキャンペーンは、広告プラットフォームやクラウドサービスが悪用され、ユーザーの初期判断や一部のセキュリティ制御をすり抜け得る詐欺活動を支える可能性があることを示しています。
検索ベースおよびクラウドホスト型の脅威が進化し続ける中、組織はこれらの手法を単発の出来事ではなく継続的なリスクとして捉えるべきです。
脅威が信頼されたサービスをますます悪用する中、多くの組織は暗黙の信頼を減らし、ユーザー、デバイス、アプリケーション全体にわたるアクセス制御を強化するためにゼロトラストソリューションを採用しています。
翻訳元: https://www.esecurityplanet.com/threats/bing-ads-abused-to-deliver-azure-hosted-tech-support-scams/
