### AI主導の欺瞞がモバイルユーザーを標的に **HUMAN**のSatori Threat Intelligence and Research Teamによって特定された**Pushpaganda**キャンペーンは、AndroidおよびChromeユーザーのパーソナライズされたコンテンツフィードを標的にしています。研究者のLouisa Abel、Vikas Parthasarathy、João Santos、Adam Sellによると、このオペレーションは、ユーザーを騙して不穏なメッセージを表示する通知を購読させることで、実際のモバイルデバイスから無効なオーガニックトラフィックを生成しています。 ピーク時には、7日間にわたりキャンペーンに関連する113のドメインに約2億4000万件の入札リクエストが関連付けられていました。当初はインドを標的としていましたが、脅威は米国、オーストラリア、カナダ、南アフリカ、英国などの地域に拡大しています。 Gavin Reid、**HUMAN**の最高情報セキュリティ責任者は、脅威アクターがAIを悪用して信頼できるディスカバリーサーフェスを乗っ取り、スケアウェア、ディープフェイク、金銭詐欺の配信媒体に変えていると強調しました。**Google**はその後、スパム問題に対処するための修正を実装しました。 ### スキームの仕組み このスキームは、**Google** Discoverを通じて、AI生成コンテンツで満たされた誤解を招くニュース記事に、無防備なユーザーを誘い込むことに依存しています。ユーザーがアクター管理下のドメインにアクセスすると、偽の法的脅迫や詐欺を表示するプッシュ通知を有効にするよう強制されます。 スケアウェア通知をクリックすると、ユーザーは脅威アクターが運営する追加サイトにリダイレクトされ、それらのサイトに埋め込まれた広告へのオーガニックトラフィックを生成し、不正な収益を生み出すことが可能になります。  ### プッシュ通知の悪用：繰り返される脅威 脅威アクターがプッシュ通知を武器化するのはこれが初めてではありません。2025年9月には、**Infoblox**が、広告配信やClickFixスタイルのソーシャルエンジニアリングキャンペーンを促進するために、体系的なプッシュ通知の悪用に従事する脅威アクター、**Vane Viper**を明らかにしました。 **HUMAN Security**の脅威インテリジェンス担当副社長であるLindsay Kaye氏は、Webプラットフォームとモバイルプラットフォームの両方におけるプッシュ通知を伴うマルウェアベースの脅威は目新しいものではないと指摘しました。ユーザーはしばしばこれらの通知をすぐにクリックするため、マルウェア作成者の武器庫において効果的なツールとなっています。 ### Googleの対応 **Google**の広報担当者は、同社は堅牢なスパム対策システムと、低品質で操作的なコンテンツの新たな形態に対するポリシーを通じて、Discoverから大部分のスパムを排除していると述べました。報告を知る前に、同社はスパム問題に対処するための修正をリリースしており、Discoverにおける高品質コンテンツの基準を維持しています。 **Google**は、検索およびDiscoverに非オリジナルで低品質なコンテンツを表面化させる不正行為に対処するため、堅牢なスパムポリシーとスパム対策システムを実装しています。検索およびニュースのランキングを操作しようとするポリシー違反コンテンツをフラグ付けするために、定期的なアルゴリズムアップデートが展開されています。 **Google**のガイダンスによると、検索ランキングを操作することを主目的としたコンテンツ生成にAIを使用することは、同社のスパムポリシーに違反します。これには、生成AIツールを使用して価値のないページを作成したり、フィードをスクレイピングしたり、コンテンツのスケーリングされた性質を隠すために複数のサイトを作成したりするような、スケーリングされたコンテンツの悪用が含まれます。 ### 広告詐欺のマネーロンダリング市場 この開示は、**HUMAN**が最近、これまで発見された中で最大級の広告詐欺マネーロンダリング市場の1つを構成する3,000以上のドメインと63のAndroidアプリを特定したことに続くものです。Low5と名付けられたこのオペレーションは、**BADBOX 2.0**を含む巧妙な詐欺スキームのキャッシュアウトサイトとしてドメインを収益化しています。 このオペレーションは1日あたり約20億件の入札リクエストでピークに達し、世界中の最大4,000万台のデバイスで稼働していた可能性があります。Low5に関連するアプリには、ユーザーデバイスにスキームに接続されたドメインを訪問させ、広告をクリックさせるコードが含まれています。 ゴーストサイトとも呼ばれるキャッシュアウトサイトは、コンテンツ主導型の詐欺を実行するために使用され、偽のサイトやアプリを使用して広告主にスペースを販売し、広告主は広告が人間によって表示されると想定しています。問題のAndroidアプリは**Google Play Store**から削除されました。 **HUMAN**は、数千のドメインにまたがる共有された収益化レイヤーにより、複数の脅威アクターが同じインフラストラクチャに接続でき、分散型マネーロンダリングシステムが作成されると強調しています。これにより、脅威の回復力が増し、帰属が複雑になり、迅速な複製が可能になります。 特定の詐欺キャンペーンが停止した後でも、収益化インフラストラクチャは存続できます。悪意のあるアプリまたはデバイスネットワークが削除された場合でも、同じキャッシュアウトドメインは他のアクターによって再利用できます。Low5は、キャッシュアウトドメインを追跡し、入札前にフラグを立てるために、継続的かつ積極的な脅威インテリジェンスと検出の専門知識の必要性を強化します。