Triadaマルウェアの新たな脅威
AdTech Holding傘下の不正対策・トラフィック品質プラットフォームであるAdexは、悪名高いTriadaトロイの木馬に関連する巧妙なマルウェア運用を特定し、無力化しました。このキャンペーンは数年にわたりモバイル広告エコシステムを標的とし続け、デジタル広告空間におけるサプライチェーン攻撃の進化する危険性を浮き彫りにしています。
調査結果と合わせて発表された業界データによると、Triadaは依然として強力な脅威であり、2025年第3四半期に検出された全Androidマルウェア感染の15.78%を占めています。
攻撃手法の進化
Adexのアナリストによる調査では、過去5年間でTriadaの背後にいる脅威アクターが、正当な広告ネットワークへの侵入を組織的に試みてきたという憂慮すべき傾向が明らかになりました。彼らは従来の感染経路にのみ依存するのではなく、信頼性の高いインフラを悪用する方向に転換しています。広告主のアカウントを侵害し、GitHubやDiscordコンテンツデリバリーネットワーク(CDN)などの評判の良いプラットフォームを悪用することで、ハッカーは偽装されたリダイレクトを通じて悪意のあるAPKファイルを配布しており、標準的なセキュリティプロトコルによる検出がますます困難になっています。
Triada活動の3つの波
Adexは、現代の詐欺戦術の急速な適応を示す3つの異なる活動の波を記録しました。
- 初期段階(2020年から2021年): 攻撃者は、質の低い偽造身分証明書を使用してKYC(顧客確認)プロトコルを回避することに注力しました。これらのアカウントは、既知のカーディングパターンに一致する繰り返しのチャージによって資金が供給されました。マルウェアはDiscord CDNや短縮URLを介して配布され、ランディングページは正当性を装うために公式オンラインサービスプラットフォームに偽装されていました。
- 第二段階(2022年から2024年): 戦術は大幅に変化し、直接的なアカウント乗っ取りへと移行しました。攻撃者は、二要素認証(2FA)を欠く広告主のアカウントを積極的に標的にしました。アクセスが確保されると、これらの侵害されたプロファイルが、ユーザーをGitHubでホストされているペイロードにリダイレクトする偽装キャンペーンを開始するために使用されました。この方法は、ユーザーやセキュリティシステムが確立されたコードリポジトリに抱く信頼を効果的に悪用しました。
- 第三段階(2025年): キャンペーンは、高い複雑性を特徴とする第三の波へと進化しました。この最新の反復では、緊急のChromeブラウザアップデートを模倣するように設計されたフィッシングプリランダーが利用され、最終的な悪意のある宛先を難読化するために複雑な多段階リダイレクトチェーンが採用されました。VirusTotalのデータは、この活動とトルコおよびインドから発信された不審なログインパターンとの相関関係を示しており、大規模なマルウェア配布のために侵害されたアカウントを収集し、育成するための協調的な取り組みが示唆されています。
Adexは合計で、この操作に関連する500以上のアカウントを特定し、永久に禁止しました。この調査は、広告技術業界にとって重要な現実を浮き彫りにしています。それは、「クリーンな」ドメインがもはやクリーンな意図の保証ではないということです。
セキュリティ上の影響と対策
Triadaが盗まれたIDの使用から、正当なアカウントの乗っ取り、そして信頼されたプラットフォームの背後にペイロードを偽装するへと進化したことは、広告ネットワークがいかに容易に意図しない配布経路になり得るかを示しています。
これらの調査結果を受けて、Adexの専門家は包括的なビジネス保護戦略を開発し、PropellerAdsチームによって導入されました。この強化されたゼロトラストセキュリティモデルは、Sumsubによるより厳格なKYC手順を義務付けてID詐欺を防ぎ、すべての広告主アカウントに対して二要素認証とログイン異常監視をデフォルトで強制します。さらに、新しいプロトコルは、GitHubやDiscordのような信頼されたサービスを指すキャンペーンであっても、完全なリダイレクトとドメインの検証を要求します。これらの対策により、参入障壁が大幅に引き上げられ、侵害されたインフラを介した将来の配布試行からエコシステムが保護されます。