Facebook上で巧妙に仕組まれた大規模なマルウェア攻撃が、世界中の暗号資産ユーザーを標的としている。「JSCEAL」と呼ばれるこのマルウェアは、2024年3月から活動を開始し、2025年上半期だけで3万5千件の悪意のある広告を配信した。このキャンペーンは、技術的な高度性と規模の大きさ、そして広告技術の兵器化という3つの観点から、企業のサイバーセキュリティに深刻な脅威をもたらしている。
過去の経緯:ソーシャルメディア詐欺の進化
ソーシャルメディアを悪用した詐欺は長年の問題だった。オーストラリア競争・消費者委員会(ACCC)は2018年に、Meta社が自社プラットフォーム上の詐欺的な暗号資産広告を認識していたと指摘している。2022年には、著名人を無断使用した詐欺広告でMeta社を連邦裁判所に提訴した。
英国では2023年の最初の5ヶ月だけで、Facebook上の詐欺により1,860万ポンドの損失が発生した。ニューヨークでも2025年に、Facebook広告を通じた詐欺で多くが被害に遭っている。
これまでの攻撃は比較的単純なフィッシングが中心だった。しかし、JSCEALキャンペーンは高度なマルウェア技術と巧妙なソーシャルエンジニアリングを組み合わせ、技術的に大幅な進歩を遂げている。
現在の状況:高度化する攻撃手法
技術的な洗練性
JSCEALマルウェアは、従来のセキュリティ対策を回避するために設計されている。攻撃者はコンパイル済みJavaScript(JSC)とNode.jsを利用し、静的解析を困難にしている。
感染プロセスは5段階の複雑な構造を持つ。まず、ユーザーがFacebook広告をクリックすると、BinanceやTradingViewなど正規の暗号資産プラットフォームを模倣した偽のランディングページに誘導される。そこで約800 KBのMSIインストーラーをダウンロードするよう促される。
インストーラーが実行されると、ポート30303でローカルウェブサーバーが立ち上がる。ブラウザのJavaScriptがこのサーバーと通信し、WMIクエリでシステム情報を収集する。攻撃者が「正規の標的」と判断すると、最終的なJSCEALペイロードが配信される。
規模と持続性
このキャンペーンの規模は前例がない。2025年上半期だけで3万5千件の悪意のある広告が配信され、数百のFacebookアカウントが関与している。一部のページは1日で100件以上の広告を掲載した。
攻撃者は約50種類の暗号資産取引アプリになりすまし、イーロン・マスクやクリスティアーノ・ロナウドなど著名人の画像を利用している。推定560以上のユニークドメインが登録され、短期間で使い捨てられている。
広告技術の兵器化
最も深刻なのは、Meta社の広告プラットフォーム機能の悪用だ。攻撃者は特定のURLパラメータを利用してトラフィックをフィルタリングし、正規の有料広告をクリックしたユーザーにのみ悪意のあるコンテンツを提供している。
この手法により、セキュリティ研究者や自動化されたサンドボックスは悪意のあるランディングページにアクセスできない。また、特定のヨーロッパ諸国の18歳以上の男性に焦点を当てるなど、デモグラフィックターゲティングも使用している。
今後の予想
JSCEALのような攻撃は今後さらに高度化すると予想される。生成AIを利用して、より説得力のあるディープフェイク動画や高度にパーソナライズされた広告コピーが大規模に作成される可能性が高い。
プラットフォーム側も防御を強化するため、ランディングページの挙動分析や広告主の本人確認など、より高度なセキュリティ技術への投資が進むだろう。ただし、攻撃者も革新を続けるため、より複雑でコストのかかる軍拡競争が予想される。
BKK IT Newsの見解では、このような攻撃の成功は、各国政府に新たな規制を求める声を再燃させる可能性が高い。プラットフォームが公開し利益を得た詐欺的広告に対して、法的責任を負わせる動きが加速するかもしれない。
企業への提言
個人ユーザー向け対策
従業員への啓発が重要だ。特に金銭的利益を約束する広告については、極度の懐疑心を持って扱うよう指導すべきだ。広告リンクをクリックせず、必ず公式サイトで直接確認する習慣を徹底したい。
ソフトウェアのダウンロードは常に公式ベンダーのウェブサイトや公式アプリストアを利用する。信頼できるウイルス対策ソフトウェアの使用と、ブラウザの最新状態維持も欠かせない。
フィンテック・暗号資産業界向け対策
自社のブランド名を悪用したなりすましアカウントや詐欺広告がないか、積極的な監視が必要だ。侵害コンテンツの正式な削除要請サービスの活用も検討したい。
正規のコミュニケーションを識別する方法について顧客教育を実施し、進行中の詐欺について警告する公式キャンペーンを展開することも有効だ。企業の広告アカウントは価値の高い標的となるため、従業員がこれらの脅威を認識できるようトレーニングを強化すべきだろう。
内部セキュリティ体制の見直しも急務だ。特に暗号資産を扱う企業は、多層防御の観点から包括的なセキュリティ戦略の再構築を検討する必要がある。
参考記事リンク
- Sealed Chain of Deception: Actors leveraging Node.JS to Launch …
- ACCC takes action over alleged misleading conduct by Meta for publishing scam celebrity crypto ads on Facebook
- Joint Investigation Disrupts Cryptocurrency Scam that Used Facebook Advertisements and Scam Websites, Recovering $140,000 and Freezing $300,000 in Stolen Funds | Department of Financial Services
- Trojan:JS/JSCeal!MTB threat description – Microsoft Security Intelligence
- Weaponizing Facebook Ads: Inside the Multi-Stage Malware Campaign Exploiting Cryptocurrency Brands – Bitdefender
