検索広告を悪用し、公式サイトを装ってマルウェアを拡散する手口が広がっている。
3日韓国インターネット振興院(KISA)によると、最近、国家関与が疑われる正体不明のハッカー組織が「カカオトーク」公式ダウンロードページを装ったフィッシングサイトを作成し、拡散したことが判明した。
当該サイトはグーグルやBingなどの検索エンジン結果の上段に露出するよう設計された。利用者がこれを公式ページと誤認し、マルウェアを含むインストールファイルをダウンロードするよう誘導する方式である。これは検索結果の上位露出を操作して利用者を悪性サイトへ誘導する「SEO(Search Engine Optimization)ポイズニング」手法である。
実際に今年2月10日から4月14日までの約2カ月間、「カカオトークPC版」ダウンロードページに成り済ましたフィッシングサイトを通じて560件以上のマルウェアが拡散したと把握された。利用者が偽装インストールファイルを実行した場合、ダウンロード先の利用者PCでマルウェアが作動し、PC内の機微情報などが外部へ流出するリスクがある。
この種の攻撃は利用者の関心が高いサービスへと広がっている。セキュリティ企業AhnLabは、最近クロードのダウンロードページを精巧に模倣したフィッシングサイトを確認したと明らかにした。攻撃者はグーグルの検索広告を活用し、「クロードアプリ」「クロードデスクトップ」などのキーワード検索結果の最上段に当該サイトが露出するようにしたとみられる。
KISAは「カカオトークなど主要ソフトウェア(SW)をインストールする際には、検索結果ではなく公式ホームページを通じてダウンロードし、検索結果のうち『広告』または上段露出リンクのURLが正規サイトと一致するか必ず確認してから接続すべきだ」と述べた。