オンライン広告を悪用するマルバタイジング攻撃とは？ -攻撃の手法や事例、基本的な対策例を解説-

Security NEWS TOPに戻る
バックナンバー TOPに戻る

企業の広告戦略において、オンライン広告の活用は今や不可欠です。しかし、近年ではそうしたオンライン広告の信頼性を悪用した「マルバタイジング（Malvertising）」攻撃の脅威が高まっており、企業のブランド毀損や利用ユーザへの被害が懸念されています。本記事では、企業の情報システム部門やデジタルマーケティング担当者に向けて、マルバタイジング攻撃の仕組み・手口・具体的な事例、そして取るべき対策について解説します。

マルバタイジング攻撃とは

マルバタイジングの概要

「マルバタイジング」という言葉は悪意のある広告を意味します。そして「マルバタイジング攻撃」とは、正規のオンライン広告ネットワークを利用して、悪意のあるコンテンツやマルウェアを配布するサイバー攻撃です。攻撃者は主要なネットワークを通じて、広告利用者や顧客となるユーザを偽のサポートページ、フィッシングサイト、マルウェア配布ページなどに誘導します。

主な手法・特徴

・検索エンジン広告の上位表示を利用し、正規サイトよりも上に悪意のある広告を掲載させる
・クローキング技術で、広告審査時には正常なページを見せ、ユーザには悪意あるコンテンツを表示
・多段階リダイレクトを通じ、攻撃の追跡や遮断を困難にする
・マルウェアをダウンロードするように誘導する

さらに不正なストリーミングや違法コンテンツを利用し、ユーザの心理的なガードが下がっているタイミングを狙って攻撃者が攻撃を仕掛ける点や、偽の著名人広告を使ってリアリティを演出する点など、ソーシャルエンジニアリング攻撃としてのアプローチも確認できます。

攻撃手法（広告主のアカウントの乗っ取り）

近年特に問題視されているのが、広告アカウント自体の乗っ取りや悪用です。Malwarebytesの報告によれば、攻撃者はまず広告主を狙い、偽のGoogle広告やフィッシングページを通じて、認証情報を詐取します。これにより、正規の広告主のアカウントが乗っ取られ、「偽の広告出稿に使われる（正規アカウントゆえ審査を通過しやすい）」や「広告費が犯罪活動に使われ、別の被害につながる」「違法な目的で利用されたことで、正規アカウントのブランド価値が毀損される」といったことに繋がります。また、広告主からすると、被害者であると同時に加害者になってしまうリスクがあるため、その点にも留意が必要です。

ClickFix

マルバタイジング攻撃の中核ともいえるのが、広告から遷移した先での悪意ある操作です。最近では「ClickFix」と呼ばれる手法が注目されています。これは一見してCaptcha画面やトラフィック認証のように見えるページで、ユーザ自身に悪意あるコマンドをコピー＆ペーストさせ、実行させるというものです。

代表的な手法

• 偽のCaptcha画面を通じてコピー＆ペーストした内容により、悪意あるコマンドをユーザ自身の手で実行させる
• PayPalの「no-code checkout」リンクを悪用し、偽のサポートを通じて個人情報を詐取する*1https://www.malwarebytes.com/blog/scams/2025/02/paypals-no-code-checkout-abused-by-scammers
• Semrushを装った偽の広告をGoogle広告に出稿し、ユーザを偽のログインページに誘導するフィッシング*2https://www.malwarebytes.com/blog/news/2025/03/semrush-impersonation-scam-hits-google-ads
• 難読化により、解析やブロックの回避を狙う

こうして細工されたページは、一見、信頼感のあるドメインやUIを装い、ユーザを安心させることで、警戒心をくぐり抜けています。企業が提供している正規ブランドやツールの名前が使われるケースも多く、こうした事情を知った上での警戒が必要です。

マルバタイジング攻撃の事例

2023年、米セキュリティ企業SentinelOneは、攻撃者がGoogle広告を利用して、Amazon Web Services（AWS）のログインページを模倣したフィッシングサイトへの誘導を行ったとの報告を行いました。手順は下図の通りです。

攻撃の流れ

フィッシングサイトには「Webページのコンテンツコピーを阻害するためにマウスクリックが無効とされている」「キーボードショートカットを無効にするために、ショートカットを押すと『#』にリダイレクトされる」「ブラジル納税者番号等を装うためにポルトガル語を使用している」といった細工が施されていました。

その他にも様々な攻撃事例があります。その一部を参考までに以下に記載します。

事例1：米Yahoo広告ネットワークを悪用した大規模感染（2014年）
2014年、米Yahooの広告ネットワークを通じて配信されたマルバタイジング攻撃では、ユーザが広告をクリックしなくても、広告が表示されるだけでマルウェアが自動的にインストールされる事例が報告されました。この攻撃は、数百万人のユーザに影響を及ぼしました。*3https://www.gmo.jp/security/cybersecurity/cyberattack/blog/malvertising/?utm_source=chatgpt.com

事例2：日本を標的とした「Cinobi」マルバタイジングキャンペーン（2021年）
2021年8月、トレンドマイクロは、日本のユーザを標的としたマルバタイジングキャンペーンを報告しました。この攻撃では、「Cinobi」と呼ばれるトロイの木馬型マルウェアが使用され、暗号通貨関連のWebサイトを模倣した広告を通じて感染が拡大しました。

事例3：Google広告アカウントの乗っ取りとフィッシング（2025年）
2025年3月、Malwarebytesにより、SEOツール「Semrush」を装ったフィッシング広告がGoogle検索結果に表示され、ユーザを偽のログインページに誘導する事例が報告されました。これらの広告は、正規のSemrushサイトを模倣し、Googleアカウントの認証情報を盗み取ることを目的としていました。*4https://www.malwarebytes.com/blog/news/2025/01/the-great-google-ads-heist-criminals-ransack-advertiser-accounts-via-fake-google-ads

マルバタイジング攻撃への対策

マルバタイジング攻撃は、攻撃者が合法的な広告経路を悪用する、ユーザに攻撃を実行させる、という手法を取る性質上、防御が難しい面があります。しかし、基本的な対策の徹底と、いくつかの技術的および運用上の対策により、そのリスクを大きく軽減することが可能です。

マルバタイジング攻撃対策の基本

• すべてのソフトウェア（特にウェブブラウザとその拡張機能）を常に最新の状態に保つ
• アンチマルウェアソリューションや広告ブロッカーの導入によって攻撃リスクを抑制
• FlashやJavaなどのプラグインを無効化し、ウェブ上で自動実行されないようにする*5https://www.crowdstrike.com/ja-jp/cybersecurity-101/malware/malvertising/
• WAF（Web Application Firewall）を導入し、広告を通じた外部からの侵入リスクを防ぐ
• 多要素認証（MFA）の導入により、アカウント乗っ取り被害を防止
• API連携部分も含めたセキュリティ設計を検討

多層防御とインシデント対応

・資産管理、脆弱性管理、ネットワーク分離などの複数対策を組み合わせた「多層防御」体制の構築
・攻撃の「侵入を前提」とした対応方針の確立と運用（ゼロトラスト）
・インシデントが発生した場合の備えとして、CSIRTの整備や初動手順の明文化を推奨

サイバーインシデント緊急対応

関連記事：
「侵入前提でのセキュリティ対策のポイント-サイバー攻撃への対策3-」

企業が行うべきセキュリティ対策の実効性評価

ランサムウェア対策総点検

「ランサムウェア対策総点検」では現状のリスクの棚卸を行うことが可能です。システム環境の確認や、環境内で検知された危険度（リスクレベル）を判定いたします。

ペネトレーションテスト

まとめ

広告はもはや「見せるもの」というだけでなく、「狙われるもの」である
――そのような認識が今、求められています。

オンライン広告の世界における「信頼」は、もはや絶対的なものではありません。広告インフラを突いたマルバタイジング攻撃は、今後も進化を続けていくと考えられ、企業・広告主・マーケターはより一層の警戒が求められます。

本記事で紹介した事例や対策は、すべてのWebマーケティングに関わる組織が当事者であるといえる内容となります。攻撃の侵入を前提として何も信用しない「ゼロトラスト」の思考と、多層的なセキュリティ戦略のもと、日々の業務と広告展開の両面において、安全性を担保する取り組みが不可欠です。

BBSecでは

サイバー保険付帯脆弱性診断サービスの紹介

サイバー保険付帯の対象となる脆弱性診断

BBSecのSQAT^® 脆弱性診断サービスすべてが対象となります。また、複数回脆弱性診断を実施した場合、最新の診断結果の報告日から1年間有効となります。

• WEBアプリケーション脆弱性診断 －SQAT^® for Web－
• ネットワーク脆弱性診断 SQAT^® for Network
• スマホアプリ脆弱性診断 SQAT^® for Smartphone
• クラウドセキュリティ設定診断
• ソースコード診断 SQAT^® Core
• SQAT^® ペネトレーションテスト
• IoTセキュリティ診断
• アタックサーフェス調査 SQAT® ASM
• SQAT® with Swift Delivery

脆弱性診断とは、企業・組織のシステムに存在する既知のセキュリティ上の欠陥（＝脆弱性）を検出するための検査です。情報漏洩やサービス停止などの重大なセキュリティインシデントを未然に防ぐため、システム全体の問題点を可視化します。これにより、リスクに優先順位をつけて対策を講じることが可能です。また、継続的な診断の実施により、新しい脅威や構成変更、経年による新たな脆弱性の発露といった脅威にも柔軟に対応できるため、企業のセキュリティレベルを継続的に改善する基盤として重要な役割を果たします。

関連記事：
「脆弱性診断の必要性とは？ツールなど調査手法と進め方」

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年5月21日（水）14:00～15:00
「Webサイト改ざん攻撃の手口と防御策とは？リアルタイム検知で守るセキュリティ」

2025年5月28日（水）13:00～14:00
「脆弱性診断の新提案！スピード診断と短納期で解決する「SQAT® with Swift Delivery」セミナー」

2025年6月4日（水）13:00～14:00
「知っておきたいIPA『情報セキュリティ10大脅威 2025』～セキュリティ診断による予防的コントロール～ 」

最新情報はこちら

---

---