概要と攻撃のメカニズム
巧妙なテクニカルサポート詐欺キャンペーンが浮上し、Bing検索結果上の悪意のある広告が悪用されています。これにより、被害者はMicrosoftのAzure Blob Storageプラットフォームでホストされている不正なウェブサイトにリダイレクトされます。
この攻撃は2026年2月2日に初めて検知され、数時間で米国の48組織に影響を及ぼしました。これは、正規の広告チャネルをサイバー犯罪に悪用する効果を示しています。
詐欺は、ユーザーがBingで「amazon」のような一般的な用語を検索し、正規に見えるスポンサー結果をクリックすると始まります。これらの悪意のある広告は、新しく登録されたドメイン highswit[.]space に被害者をリダイレクトします。このドメインは中間サーバーとして機能する空のWordPressサイトをホストしています。そこから、ユーザーは偽のテクニカルサポート警告ページを表示するAzure Blob Storageコンテナにリダイレクトされます。
マルバタイジングとして知られるこの攻撃手法は、脅威アクターが検索エンジン広告プラットフォームを悪用して悪意のあるコンテンツを検索結果のトップに配置するため、ますます巧妙化しています。広告枠を購入することで、犯罪者は検索エンジン最適化の必要性を回避し、自動的に高い視認性を獲得します。
インフラストラクチャと規模
全ての悪意のあるURLは、「xxxxxxxxxxxxxxxxx.blob.core.windows.net/yyyyyyyyy/werrx01USAHTML/index.html」という一貫したパターンに従っており、標準化された展開方法を示唆しています。研究者は、このキャンペーンに関連する70以上の固有のAzure Blob Storageコンテナドメインを特定しました。
詐欺ページは、被害者に電話番号(1-866-520-2041や1-833-445-4045など)への電話を促し、そこで詐欺師は被害者のコンピューターが感染していると主張し、不要なサービスの支払いを要求します。
Azure Blob Storageは、その正規のインフラストラクチャと、悪意のあるコンテンツと正規の利用を区別することの難しさから、脅威アクターにとって魅力的なプラットフォームとなっています。Microsoft Threat Intelligenceは、Azureサービスを標的とした悪意のある活動の増加について警告しており、犯罪者は設定ミスや過度に緩いアクセス制御を悪用しています。
業界への影響と対応
このキャンペーンは、医療、製造、テクノロジーを含む複数の分野に影響を及ぼしました。Netskope Threat Labsは、監視システムを通じてキャンペーンを検知し、ページを「ET PHISHING Microsoft Support Phish Landing Page」としてフラグ付けしました。
報告された全てのAzure Blob Storageドメインは、情報開示後、Microsoftによって無効化されました。
テクニカルサポート詐欺は依然として根強い脅威であり、検索エンジンは不正な広告主と継続的に戦っています。Microsoftは2018年にBingからサードパーティのテクニカルサポート広告を禁止し、1500万件以上の悪意のある広告をブロックしましたが、今回の事件は、脅威アクターが保護措置を回避し、正規のクラウドインフラストラクチャを悪用し続けていることを示しています。
セキュリティ対策
セキュリティ専門家は、悪意のある広告を完全に避けるために、検索結果に頼るのではなく、ウェブサイトのアドレスをブラウザに直接入力することを推奨しています。