マルバタイジングとは？ 定義と防御

悪意ある広告は、大規模な広告ネットワークの仕組みによりユーザーに表示されます。詐欺師が作成・公開した広告がネットワークに送られ、正規サイト上で通常の広告として掲載されます。ユーザーが普通にクリックすると、パソコンにマルウェアがインストールされます。

つまり、単純に言えば、マルバタイジングは悪意ある広告です。興味深いのは、低品質なサイトや悪意のあるページだけでなく、Forbes、Yahoo、Spotify、The Atlanticといった有名企業でも、過去5年間にこの種の広告が掲載されたという点です。

‍

仕組み

ここで「どうして正規サイトに悪意ある広告が掲載されるのか？」という疑問が浮かぶかもしれませんが、答えは簡単です。多くの場合、広告ネットワークは掲載する広告の内容を十分にチェックしないからです。たとえば、整体院の広告を掲載したい場合、料金を支払い申請すれば、広告交換サービスが世界中の関連サイトにその広告を掲載します。サービスや広告の正当性を確認する仕組みはないため、悪意ある広告でも問題なく掲載されてしまいます。

場合によっては、広告ネットワーク自体がハッキングされていることもあり、あるいは故意に悪意ある広告を掲載していることもあります。こうした理由から、普段利用するサイトに悪意ある広告が表示され、貴社もその標的になる可能性があります。

悪意ある広告がサイトに影響を与えている確かな兆候は、次のとおりです：

1. ブラウザやPDFリーダー、オンラインプレイヤーなどの脆弱性を突かれ、「ドライブバイダウンロード」が発生する。場合によっては、ログインフォームなどで不正な処理が隠され、セキュリティ専門家でも検出が難しいケースがあります。また、ユーザー自身がブラウザに実行ファイルがダウンロードされようとしているのに気づくこともあります。
2. 悪意ある広告によって複数回、強制的なリダイレクトが生じ、ユーザーが不正なサイトに案内される。また、ポップアップ、IFrame、浮動するプレイヤー、隠れたリンクやボタンなどを使って、ユーザーに何らかの操作を促す仕掛けが施されることもあります。
3. より巧妙な例では、ユーザー操作を模倣するクリック可能なウィンドウやポップアップ、Javascriptが実行され、ブラウザ操作が制御される場合もあります。

これらの問題はサイト運営者や企業に大きな影響を及ぼします。例えば、この種のサイトやページは再訪されにくくなり、オンラインストア、ウェブ出版社、ニュースサイトなどは閲覧者やトラフィック、売上を失ってしまいます。悪意ある広告の検知や除去が難しいため、信用を回復するのも容易ではありません。

‍

マルウェアはどのように広告に仕込まれるのか？

熟練のハッカーにとって、マルバタイジング攻撃を実行するのは難しくありません。なぜなら、広告に悪意あるコンテンツを挿入する方法が多様だからです。以下は、ハッカーが悪意ある広告を作成するためによく用いる手法です。

• 改ざんされた広告：サイトで使用される広告の一部を感染させ、被害者を騙す手法です。
• 悪意あるクリック後処理：ユーザーが最終的なランディングページにたどり着くまでの複数のリダイレクト経路にマルウェアを挿入し、被害者のデバイスやブラウザに感染させます。
• 埋め込み型広告マルウェア：バナー広告やテキストに画像やJavaScript形式でマルウェアを埋め込む一般的な手法です。特にHTML5を採用しているサイトやFlash形式の広告が対象となりやすいです。
• ピクセルにマルウェアを注入：ユーザーの活動情報をサーバーへ送るためのピクセルが狙われ、配信経路が判明すればマルウェアの挿入も容易になります。
• 破損した動画：動画プレイヤーは標準のマルウェア防御策を持たず、しばしば検証されていない第三者のピクセルが利用されるため、動画の途中や終盤にマルウェアが挿入されることがあります。
• Flash動画を使った悪意ある広告：Flashベースの動画プレイヤーを利用し、広告ページに感染済みのiFrameを挿入する手法です。iFrameは、ページにアクセスした時点で自動的にマルウェアをダウンロードします。
• ‍信頼性の高いサイトのランディングページ経由：正規のランディングページにクリック可能なマルウェアコードを仕込むことで、ユーザーが疑うことなくクリックする傾向を利用します。TwitterやFBといった信頼性のあるサイトを介した攻撃例も見受けられます。

‍

主なマルバタイジングキャンペーンの種類は？

この脅威にはさまざまな種類が存在します。市場動向、デバイスの種類などにより、複数の変種が生じます。以下はその中でも有名なものです。

• ジャックポット獲得や賞品受賞

これは最も一般的な手法です。ハッカーは、楽に金銭を得たいという欲望を利用し、宝くじや高収入のアンケート、魅力的な無料景品などを謳う悪意ある広告を作成します。中にはiPhone向けで、内蔵の広告ブロック機能を持つと謳うものもあります。

• 無料電話のカスタマーサポート詐欺

過去には、多くのWindows PCユーザーがこの手口の被害に遭いました。攻撃は、MicrosoftやAppleを装った偽サイトを用い、JavaScriptで作られた簡単には閉じられないページが特徴です。ユーザーは何か問題があると考え、サイトに記載されたフリーダイヤルに電話し、脅威行為者に繋がってしまいます。そこで、実際には存在しない高額なテックサポート料金を請求されるのです。

• 偽のソフトウェアアップデート

ソフトのアップデートは、通常、円滑な動作維持のために推奨されるものです。ハッカーはこの流れを利用し、主にFlash Playerのアップデート通知を巧妙にデザインしてユーザーを誘い込み、悪意ある広告に仕込みます。こうしたアップデート関連の広告は、動画配信サイトなどに多く見受けられ、コンテンツへのアクセスがアップデートやインストールの後に限定されると主張されることがあります。これらのアップデートは避けるべきです。

• スケアウェア詐欺

この手法では、デバイスやソフトウェアに深刻な欠陥があるかのような誤った印象を与えます。ハッカーは、デバイスに重大な脅威が存在すると主張する広告を表示し、スケアウェアを解決策として提案します。被害者がこれを信じてスケアウェアをダウンロードすると、攻撃が成功となります。

‍

マルバタイジングの実例

この攻撃手法は非常に一般的で、Forbes、Twitter、BBC、Spotifyといった大手企業も被害に遭っています。

多くの場合、攻撃の根源は複雑な広告ネットワークにあり、組織側で早期に発見するのが困難です。検知が遅れると、甚大な被害が発生してしまいます。

以下は現実に報告された有名なマルバタイジングの実例です：

• KS Clean

大規模に行われたKS Cleanは、世界中のモバイルアプリユーザーに影響を与えた悪名高いマルバタイジングキャンペーンです。複数のアプリに組み込まれ、アプリがダウンロードされた直後に作動します。

その後、マルウェアは複数の通知を送り、深刻なセキュリティ脅威を訴え、偽のアップグレードを提案しました。

被害者がアップデートに同意すると、マルウェアはハッカーに管理者権限のようなアクセスを提供し、以降、悪意ある行為者が自由に操作できる状態になります。

• RoughTed

強力なマルウェアで、アンチウイルスソフトやアドブロッカーを回避することに成功しました。AWSのCDNを利用して攻撃を進めた例です。

‍

マルバタイジングとアドウェアの違い

共通点があるため、マルバタイジングとアドウェアは同じものと見なされがちですが、実際は異なります。

アドウェアは、デバイス購入時から既に存在し、たとえば動画編集ソフトなどで広告が表示される場合、ソフトがブラウザの動向を追跡し、ターゲット広告に活用するために組み込まれているケースがあります。

場合によっては、収集されたデータが第三者に共有されることもあります。クリック課金型広告は、その一例です。

アドウェアは、正規のソフトやアプリの一部として動作するため、悪意はありません。一方、マルバタイジングは、不正かつ強制的な手段でターゲットを騙す広告です。表示される広告は、被害者のデバイスにマルウェアをダウンロードさせたり、不正なサイトへ誘導する意図がある可能性が高いです。

アドウェアは対象アプリのインストールに沿って動作するソフトウェアベースの仕組みですが、マルバタイジングは主にウェブやブラウザ上で動作するため、インストールは不要です。オンラインのサイトやページからも影響を及ぼします。

アドウェアは、デバイス上で常に動作し続け、すべてのサイトで活動を記録します。一方、マルバタイジングは感染したサイトを訪れ、悪意ある広告のリンクをクリックしたユーザーにのみ影響を与えます。

攻撃の強度も異なります。アドウェアは主に閲覧履歴の記録に留まり、システムの制御や強制操作を求めることはありませんが、マルバタイジングは悪意が強く、ハッカーの意図によっては対象デバイスを完全に乗っ取ることもあります。

ハッカーの狙い次第では、マルバタイジングが対象デバイスの完全制御に繋がる場合もあります。

マルバタイジングを防ぐには

幸いにも、Google Chrome、Safari、Edgeなどの最新ブラウザはこれらの危険の一部を防ぐ機能を備えています。定期的にブラウザを更新することが望ましいですが、デバイスの安全が気になる場合は、アドブロッカーなどの特定の拡張機能を追加するのがよいでしょう。

アドブロッカーは、悪意ある広告、トラッカー、第三者によるソーシャル解析の各種データ収集をブロックします。また、近年のアンチウイルスソフトも、悪質なサイトや隠れたマルウェアから利用者を守る機能を備えています。

さらに、日常的に利用するサイトやリソースを見直し、リスクがないか確認することも有用です。

結論

悪意ある広告は、想像以上に危険です。これらの広告は、多くの信頼ある大手サイトが利用する広告ネットワークを通して拡散されています。しかし、これらのネットワークは、表示される悪意ある広告の責任を負うものではありません。

第三者の広告主が広告ネットワークを利用することで、一度に多数のサイトに広告を送信できるため、管理が困難になります。

また、広告が掲載されているページを閉じた後も、背景で悪意ある広告が読み込まれ続けることがあり、その結果、情報漏洩、トラッキング、さらにはパソコンへのマルウェア感染などの問題が発生する可能性があります。