偽のURL短縮サービス悪用した広告詐欺キャンペーン観測、注意を

Sucuriはこのほど、「Bogus URL Shorteners Redirect Thousands of Hacked Sites in AdSense Fraud Campaign」において、偽のURL短縮サービスを悪用してWebサイトの訪問者を不正に別のWebサイトにリダイレクトするマルウェアキャンペーンが観測されていると伝えた。

このキャンペーンは、WordPress Webサイトを侵害して不正なリダイレクトを行わせるマルウェアキャンペーンの一環として実施されているもので、リダイレクト先のWebサイトに挿入されるAdSense広告のインプレッションを不正に増加させることが主な目的とされている。偽の短縮URLを悪用することで接続元のWebサイトを偽装し、正常なトラフィックであるかのように見せかける効果を狙っているとみられている。

Sucuriの研究チームは、2022年後半にWordPress Webサイトに不正なリダイレクトを埋め込む大規模なマルウェアキャンペーンを報告している。このキャンペーンは、攻撃者はWordPress製のWebサイトを侵害してコアファイルやテーマファイルを書き換え、訪問者を不正に別のWebサイトにリダイレクトするというもの。リダイレクト先のWebサイトにはGoogle AdSense広告が埋め込まれており、表示回数やクリック数が増加することで所有者が収入を得られるようになっている。Sucuriによると、2022年9月以降、このマルウェアキャンペーンによって10,890個の侵害されたWordPressサイトを発見しているという。

そしてその語の調査によって、マルウェアによって仕込まれたリダイレクト先の指定に偽のURL短縮サービスが使われ始めたことが確認されたとのこと。発見された偽のURL短縮サービスは、見た目上はBitlyやShortUrl.atといったよく知られたURL短縮サービスの代替ドメインに見えるものの、その内部に不正な広告インプレッションを目的としたリダイレクト先のWebサイトを含んでいる。Sucuriの研究チームは、過去2カ月で75個以上のこのような偽のURL短縮サービスのドメインを特定し、2,600以上のWebサイトが感染していることを確認したと報告している。

同マルウェアキャンペーンにおける別の興味深い動向としては、偽の短縮URLドメインのホスティング先として、初期にはCloudFlareが利用されていたものの、最近はDDoS-Guardに移行していることが挙げられている。これはSucuriの報告を受けてCloudFlareが対策を強化した結果だという。DDoS-GuardはDDoS防御ソリューションなどを提供しているロシアのホスティングサービスだが、多くの悪意のあるサイバー攻撃の温床になっていると指摘されている。

Sucuriのレポートには、リダイレクト先に指定されているWebサイトのドメインや、偽の短縮URLサービスのドメイン、WeorPressを標的としたマルウェアの分析結果、そしてWebサイトが侵害された場合の対処法などといった詳細な情報がまとめられている。