Facebook広告経由の技術サポート詐欺確認、Microsoft Azure悪用で検知回避

Facebook広告を悪用した技術サポート詐欺の拡散

最近、Facebook の広告機能を悪用し、米国の利用者を標的とした**技術サポート詐欺（TSS）**が拡散している。

攻撃者はFacebookの有料広告枠を利用し、利用者を技術サポート詐欺用のキットへ誘導している。この攻撃では、複数段階のリダイレクトチェーンを用いることで、セキュリティフィルターや自動検知を回避しようとする意図が確認されている。

初期段階では、スポンサー投稿として配信される広告が、一般的なコンテンツを装った形でユーザーのソーシャルメディアフィードに表示される。利用者が広告をクリックすると、悪意のあるリダイレクト処理が開始される。

第2段階では、イタリアンレストランをテーマにした無害に見えるウェブサイトへ転送される。このページは、クローラーや自動解析ツールが詐欺ページへの直接リンクを検出できないようにするための中継地点として機能している。

最終段階では、被害者は Microsoft Azure のクラウドインフラ上にホスティングされた技術サポート詐欺ページへリダイレクトされる仕組みとなっている。

クラウドインフラ悪用とセキュリティ対策の実態

本詐欺キャンペーンは、Microsoft Azure のような信頼性の高いクラウドサービスを利用することで、ドメイン単位のブロックを困難にしている。攻撃者はこうしたインフラを戦略的に悪用し、セキュリティソリューションによる検知を回避しながら活動を継続していた。

調査によると、キャンペーンは約7日間にわたり、100以上のユニークなドメインをローテーションさせて運用されていた。特に平日に活動が集中していた点から、一定の手動管理が行われていた可能性も指摘されている。

セキュリティチームは、URLパターンマッチングやHTML署名分析を通じて本キャンペーンを特定し、効果的な遮断に成功した。Azureのサブドメインおよびランディングページ上で確認されたスクリプトは、検知に有効な特徴を示しており、継続的なモニタリングの重要性を裏付ける結果となった。

専門家は、利用者に対しスポンサーコンテンツとの不用意な相互作用を避けるよう注意を促すとともに、組織にはソーシャルメディア広告経由で発生するリダイレクトを精査できるよう、ウェブフィルタリングルールの見直しを推奨している。