世界中の検索エンジンマーケットの92%を占めているGoogleは、唯一無二な検索アルゴリズムで多くのインターネット使用者が利用しています。Googleの高度化されたアルゴリズムによって検索結果の上段に現れるウェブサイトに、その検索語によって1日で数万・数百万のGoogle検索エンジンユーザーが訪問します。Googleはできるだけ悪性またはフィッシングサイトを上位表示から排除するためにアルゴリズムを改善していますが、それにも関わらず、サイバー攻撃者は最大限多くの被害者が悪性ウェブサイトに訪問できるようにGoogleの掲載順位ロジックを巧妙に悪用します。その中でもGoogle広告(Google Ads)を悪用したフィッシング、悪性ウェブサイト攻撃は続いて提起される悪質的な攻撃の手口です。 最近、セキュリティメディアのBleeping ComputerではGoogle検索広告フィッシングを対象としてBitwardenのパスワードウォールがターゲットになり、多くの人がそのGoogle広告フィッシングで資格証明を盗用されたという記事が発行されました。その他にも今までGoogle広告を悪用して検索エンジンのユーザーにフィッシング、詐欺の被害を与えた多くのフィッシング攻撃事件がありましたが、あまりにも精密に作られたフィッシングサイトは適当な対策がないまま、続いてGoogle検索結果の上位に表示されています。 メタマスクの Google広告フィッシングサイト 仮想通貨ウォレットサービスのメタマスク(MetaMask)は、月3百万人以上が訪問する人気の仮想通貨サービスです。そして多くのユーザーはメタマスクのウェブサイトにアクセスするためにGoogle検索エンジンを利用します。Googleに「メタマスク」とか「メタマスクウォレット」などに検索すると、メタマスクの公式オンラインウェブサイトが表示されると当たり前に思うのが普通です。もし、上位に表示されたサイトが全然違うタイトル・説明を掲げているとしたら、スクロールしてユーザー自身がアクセスしたいウェブサイトを直接選べば良いが、実際のサイトと同じタイトル・説明で表示された検索結果が現れたらどうでしょう。 実際にメタマスクのGoogle広告フィッシング事件は2020年から何件か報告されてきました。攻撃者はフィッシングサイトの広告がブロックされたら、しばらく後でまた新たなドメインで再び広告を露出させる方法で攻撃を続けています。今度発見したメタマスクのGoogle広告フィッシングの事例は韓国のGoogle検索結果でした。画像のように「메타 마스크」というキーワードをGoogleの検索ボックスに入力すると、検索結果の一番上にAdの表示とともにメタマスクのTitleになったウェブサイトが見えます。 韓国のGoogle検索ボックスに「메타 마스크」で検索した結果、Google広告が一番目に見える Googleの使用者は、メタマスクにアクセスするために疑いなく一番上に表示されたサイトをクリックするはずです。実際にこのウェブサイトへアクセスすると、次のようなメタマスク公式ウェブサイトに見えるサイトにアクセスされます。 Google検索結果の一番上位に表示されたメタマスクの類似ウェブサイトにアクセスした画面 Google広告をクリックしてユーザーがアクセスした後、変なところを見つけ出せるでしょうか。それはたぶん無理です。実際のメタマスクのウェブサイトと比べてファビコン、タイトル、ウェブUI/UXの全てが実際のサイトと同じく作られているためです。 たった一つ、実際のウェブサイトと違うしかないところがURLアドレスです。Google広告フィッシングサイトで作られたURLは実際のウェブサイトと最大限同じようにみえるため mètamaśk[.]com というURLを使用しました。一見すると、実際のウェブサイトのURLであるmetamask.ioと区別するのは難しいですが、詳しく見ると「e」と 「s」 の代わりに 'è', 'ś'を使ってもっともらしく偽造しました。
