インターネット上のコンテンツの多くに掲載されるWeb広告。しかし、その中にはマルバタイジングやアドウェアと呼ばれるような、極めて悪質なものも存在する。この記事では、マルバタイジングとアドウェアについて、それぞれの目的や仕組みに加えて、被害に遭うリスクとその回避方法について解説する。
マルバタイジングとは
近年、Webブラウザーでのネットサーフィン時に悪質な広告を目にすることが少なくない。その代表的な存在が「マルバタイジング」と「アドウェア」だ。マルバタイジングとは、マルウェアの拡散や不正なサイトへのリダイレクトを目的とした悪質なWeb広告のこと。マルウェア(Malware)と、広告を意味するアドバタイジング(Advertising)を組み合わせた造語である。
基本的に、サイトのコンテンツを提供している事業者と、広告を配信している事業者は別である。広告を配信している事業者は、アドネットワークと呼ばれる配信システムを提供することが多い。さまざまなWebメディア上にこのシステムが導入されており、複数の事業者のシステムが混在していることも少なくない。マルバタイジングとは、このアドネットワークと呼ばれる仕組みを介した攻撃手法だ。
広告主による広告出稿量も増え続けており、一部のアドネットワークでは管理が行き届いていないというケースもある。マルバタイジングは、そうしたWeb広告に関わるシステムの不備を突いた攻撃手法だ。攻撃者はアドネットワーク経由で悪意のある広告を配信することで、不特定多数のWebサイトへ攻撃が可能となる。
マルバタイジングの仕組み
先述のように、マルバタイジングにおける悪意のある広告は、広告配信システムから配信される。一般的には、攻撃者が広告配信システムに攻撃を仕掛け、配信される広告の一部を書き換えることで、マルバタイジングの広告を紛れ込ませるのだ。その広告には不正なスクリプトが埋め込まれており、配信システム経由でさまざまなWebサイトへ広告が配信される。
広告を配信されたWebサイトにユーザーが訪れた際、その悪意のある広告が表示され、ユーザーが広告をクリックしてしまうことで不正なWebサイトへ転送されることになる。その結果、転送先の不正なWebサイト上でユーザーが何かしらのアクションをした際にマルウェアに感染してしまう。つまり、マルバタイジングとは広告配信業者のシステムを悪用することで、さまざまなWebサイト上での攻撃を展開可能にする攻撃手法なのだ。
マルバタイジングの影響
ニュースメディアなど、信頼性の高いWebサイトを訪問している場合でもマルバタイジングの被害に遭遇する恐れがある。Webサイト自体のセキュリティ対策が適切に講じられている場合であっても、広告配信システムに紛れ込んだマルバタイジングは防ぎようがないからだ。
表示されたバナー広告に不正なスクリプトが仕込まれていれば、表示されただけ、あるいはクリックしただけでマルウェアに感染する恐れもある。また、このマルバタイジングに絡めてドライブバイダウンロード攻撃が行われる恐れもある。Webサイトを閲覧した際に、ユーザーの気づかぬ間に、勝手にマルウェアがダウンロードされてしまうのだ。
マルバタイジングの事例
アドネットワークを悪用した攻撃であるマルバタイジングが、実際に生じた事例を以下に紹介する。
広告配信ネットワーク経由による「Cinobi Banking Trojan」への感染
「Water Kappa」という犯罪グループによると推察される活動において、日本を標的とした不正広告によるアプリケーションの配信が発覚。サイドローディングの脆弱性を悪用して、バンキング型トロイの木馬「Cinobi」をロードし、起動させるのだ。
無料ポルノゲーム、ポイント還元アプリ、あるいは動画ストリーミングアプリに偽装したこのアプリは、銀行をはじめ、国内に存在するいくつかの暗号資産(仮想通貨)取引所のWebサイト内の情報を盗み出したことがわかっている。実際、Cinobiを使用して、被害者の暗号資産(仮想通貨)アカウントの認証情報を盗み出せることが判明している。
SilverlightプラグインがインストールされたWebブラウザーを狙う攻撃
米国のリアルタイムオンライン広告に特化したアドネットワークではSilverlightプラグインを利用していた。攻撃者によってSilverlightの脆弱性を突く「Anglerエクスプロイトキット」を悪用した広告が配信されたことで、脆弱性を有するSilverlightプラグインをインストールしていたユーザーに対して、データ窃取や詐欺などの被害を及ぼした。
エクスプロイトキットに転送させるマルバタイジングの攻撃
Internet ExplorerなどのWebブラウザーの脆弱性を利用する「RIG エクスプロイトキット」にリダイレクトさせるマルバタイジングが発覚。この攻撃の被害に遭遇すると、ユーザーは複数のスクリプトを読み込み実行されてしまう。さらに、ランサムウェアがダウンロードされ、実行されるのだ。このランサムウェアは「Buran」と呼ばれるもので、「Vega」の亜種とされる。
マルバタイジングの被害を防ぐ方法
マルバタイジングによりマルウェアやランサムウェアに感染してしまうと、さまざまな被害につながる。そのためにも、ユーザーとしては以下のような対策を講じるようにしたい。
OSやソフトウェア、アプリの更新プログラムを迅速、かつ確実に適用する
攻撃者は、既知の脆弱性を狙う。多くのユーザーが利用するOSやWebブラウザーなどに生じた脆弱性を狙うことは、そのユーザー数に比例して攻撃対象者が増えることを意味する。そして、マルバタイジングに関しても例外ではない。そのため、OSやソフトウェア、アプリの更新プログラムは、提供され次第速やかに適用すること。
セキュリティソフトは最新のバージョンを維持し、定義ファイルはこまめに更新する
セキュリティソフトは、基本的に自動で最新のバージョンや定義ファイルの更新が行われる。しかし、ユーザーが手動更新を選択している場合もあるかもしれない。あるいは、何かしらの理由で一時的に更新を停止することもあるかもしれない。基本的に、更新は自動化しておき、仮に自動更新を一時的に停止した場合、用事を済ませたら速やかに自動更新を再開しておきたい。
不審・不要な広告はクリックしない
表示させるだけでスクリプトが実行されるマルバタイジングも存在するものの、ほとんどの場合は広告による誘導先でマルウェア感染に至らせる。そのため、不審な広告はクリックしないことを徹底すること。攻撃者の手法は年々巧妙化しているため、十分に注意を払うようにしたい。
広告ブロックツールは有効な対策となり得るのか?
Webサイトの広告を表示させないためのツールとして「広告ブロックツール」が存在する。マルバタイジングを防ぐためのツールとして有効ながら、そもそもツール自体にセキュリティリスクが存在する点には注意が必要だ。
広告ブロックツールは「アドオン」と呼ばれるWebブラウザーの拡張機能を用いることが多い。この拡張機能ではさまざまな権限を求めてくるなど、セキュリティリスクを伴う場合がある。広告ブロックツールにおいてセキュリティ問題が発生した事例を以下に紹介する。
1)2017年10月 偽「Adblock Plus」配布
「Adblock Plus」という広告ブロックツールは、多くのユーザーの選択肢に挙がるほど著名なツールだ。このAdblock Plusの偽物がGoogleの公式ストアで配布されていた。「AdBlock Plus」という名称で、「Block」の頭文字が大文字となっているものの、アイコンも本物と同じものを利用。その結果、この偽アプリは3万7,000件以上もダウンロードされてしまった。この偽の広告ブロックツールには、悪意のある拡張機能が含まれていたとされる。
2)2018年4月 広告ブロックツールの隠しスクリプト
広告ブロックツールの開発会社AdGuardが発表した調査レポートによると、Google Chromeの拡張機能として、無料で提供されている「広告ブロック」機能のうち、「Adblock Pro」、「AdRemover for Google Chrome」、「HD for YouTube」、「uBlock Plus」、「Webutation」に不正なスクリプトが埋め込まれていた。不正にWebブラウザーの閲覧履歴データを取得、あるいはWebブラウザーを遠隔操作可能な状態になっていたとされる。被害に遭遇したユーザー数は2,000万人以上と推測されている。
3)2019年4月 「Adblock Plus」のフィルターオプションの脆弱性
「Adblock Plus」のURL書き換えフィルターオプションに潜在的な脆弱性が発覚。特定条件下でフィルターリストの管理者が任意のコードを挿入できる状態にあった。この脆弱性を突いた攻撃は簡単に悪用できる上に検出が難しく、さらに主要なWebブラウザーでの展開が可能な状態であった。発覚から5日後に、「Adblock Plus」開発者から最新版v3.5.2が提供され、事なきを得た。
アドウェアとは
アドウェアもマルバタイジング同様に造語であり、広告(Advertising)とソフトウェア(Software)からなる。文字どおり広告の表示で攻撃者が収入を得ることを目的としたソフトウェアだ。
例えば、あるサイトで表示されたメッセージ内の「許可」をクリックすると、別のWebサイトがポップアップで表示され、ここでも何らかのメッセージが表示される。そこで「許可」をクリックしてしまうと、JavaScriptが実行されることになる。以降、Webブラウザー内にスクリプトが常駐し、不正な広告が表示されることになるのだ。中には、セキュリティ対策を促して攻撃に至らせる悪質な手口も存在する。
アドウェアへの感染経路
アドウェアの感染経路は、大きく以下の3つに分類される。
1)Webサイト閲覧時
Webサイトを閲覧していて感染するタイプのアドウェアは、ユーザーの意図に反してインストールされる傾向にある。この場合、ユーザーが悪意のあるリンクをクリックする、あるいはアンケートなどへ回答する、といったアクションが感染の原因となることも多い。
2)フリーソフトのインストール時
インターネットからダウンロードしたフリーソフトに、アドウェアがバンドルされている場合がある。フリーソフトのインストールと同時にアドウェアもインストールされてしまうのだ。
フリーソフトのインストール画面に従ってインストール手順を進めていく際に、バンドルされているソフトウェアもインストールの有無を確認される。その際にユーザーが画面の表示内容を十分チェックせず、「次へ」ボタンをクリックすることが原因であることも少なくない。
3)Webブラウザーのアドオンやプラグインのインストール時
Webブラウザーのアドオンやプラグインとしてインストールされるアドウェアも存在する。動画ファイルや3D映像などの特殊なコンテンツを再生させるためのプラグインと同時に、バックグラウンドでインストールされるものなどがある。
アドウェアの被害を防ぐ方法
アドウェアの被害を防ぐための方法として、以下のような対策が挙げられる。
1)OSやソフトウェア、アプリの更新プログラムは迅速、かつ確実に適用する
マルバタイジングもアドウェアも何かしらの脆弱性を突いた攻撃がきっかけとなることが多い。特にWebブラウザーだけでなく、インストールしているプラグインについても脆弱性を狙われるリスクがある。Webブラウザーだけでなく、OSも同様に更新プログラムが提供された際には速やかに適用するようにしたい。
2)セキュリティソフトを導入し、最新バージョンに維持し、定義ファイルはこまめに更新する
セキュリティソフトの導入は、もはや基本的な対策という認識が浸透しつつある。有償のセキュリティソフトには不審なメールをフィルタリングする、あるいは不審なWebサイトへのアクセスを遮断する機能も備わっている場合が多い。また、メモリーやパソコンのUEFI上の不審な動作や、ランサムウェアと疑われる挙動なども検出してブロックする。エンドポイントと呼ばれる領域を総合的に保護することで安全性は高まる。
3)アドウェアに侵入された場合、アドウェア削除ツールを使用する
アドウェアの中にはソフトウェアのアンインストールだけでは完全に削除できない悪質なものも存在する。そのため、完全に削除したい場合、アドウェア削除ツールを使用することで削除できる場合がある。先述のセキュリティソフトなどで駆除できる場合もあるため、試してみるとよいだろう。
Web広告自体は、インターネット上のメディアにおける収入の源泉であり、無料で閲覧することを前提としているユーザーが存在する限り、なくなることは考えにくい。その前提を踏まえると、今後もマルバタイジングやアドウェアは手を替え品を替え、次々と登場してくるものと考えられる。ユーザーとしては、常に適切な対策を講じておき、このような広告経由のマルウェアや詐欺に対抗する手段を持っておく必要があるだろう。
