インターネットセキュリティの世界の人々にとって今年の夏は、マルバタイジングが広告依存型のインターネットのほぼあらゆる場面に影響しているという話題で持ちきりでした。マルバタイジングとは、人気のある Web サイトに広告を配置し、その広告(JavaScript や Flash のコードを含んでいることがある)を使ってエンドユーザーのコンピュータにマルウェアを侵入させる悪質な行為です。たとえば、お気に入りのいつものニュースサイトにアクセスしただけなのに、そのサイトにはいつの間にか悪質な広告がホスティングされていたとしましょう。ブラウザでその広告が表示されると、脆弱性を悪用したり、ドライブバイダウンロードを発動したり、あるいはユーザーを欺いて悪質なコードをインストールさせたりして、コンピュータが感染します。攻撃者がひとたび足がかりを築くと、コンピュータは他の悪質な活動、たとえばログイン情報や連絡先を盗み出すとか、攻撃者が操作するボットに組み込むといった行為に利用されてしまいます。マルバタイジングは、それ自体が目的ではないにもかかわらず、次第に多用されるようになっています。
ブラジルが標的に
2015 年 4 月、シマンテックはポルトガル語圏のユーザー、特にブラジルに住むユーザーを狙ったマルバタイジングの攻撃活動を検出しはじめました。この攻撃の被害を受けたユーザーのうち、ポルトガル語圏の人の率は 75% にも達し、ポルトガル語圏の人のネットワークのほうが、検出数も同じ期間の他言語の地域より多くなっています。この攻撃で影響を受けた IP アドレスのほとんどは、たどっていくとブラジルに行き着きます。ポルトガル語圏の被害者が攻撃されるのは、何千という広告が掲載された Web サイトにアクセスしたときで、これには大手である MSN、Universo Online、Globo などのポルトガル語サイトも該当します。悪質な広告に含まれるコードは、訪問先の Web サイトで読み込まれ、ユーザーを悪質なサイトへと誘導します。
この夏を通じて、シマンテックは 2 つのドメインの一方を使ってペイロードを拡散していた同じ攻撃者から、1 日あたり 15 万件近い攻撃を記録しています。2015 年 4 月、攻撃者に使われていたドメインは sepabi.com でした。このドメインが疑われるようになると、攻撃者は新しく abespi.com というドメインを取得します(偶然かどうか、これは sepabi.com のアナグラムになっていました)。新しいドメインが設定されたとたんに、古いドメインから仕掛けられる攻撃が激減したことからも、この 2 つのドメインは関連しているものと推察されます。おもしろいのは、abespi.com のドメインがジェイク・ミューラーという人物によって登録されており(人気のビデオゲーム『バイオハザード』の登場人物からとった名前であることはほぼ間違いありません)、カリフォルニア州の私書箱番号を含んでいることです。今年初めに使われていたもう一方のドメイン(sepabi.com)は、キプロスで登録されていましたが、こちらはゾンビと闘うビデオゲームとは特に関連していませんでした。
図. 疑惑を避けるために、攻撃者は別のドメインに乗り換えている
マルバタイジングの魅力
マルバタイジングが特に犯罪者の人気を集めている理由のひとつは、いちばん狙いたいユーザーを標的にできることです。正規の広告主が広告のターゲットを特定のユーザーに絞るように(「かんじきの広告だったら、雪が降る地方の人への広告の分だけ広告料を支払いたい」)、攻撃者もマルウェアの標的を特定のユーザー層に絞りたいと考えています(「ユーザーがオンラインバンキングに使うコンピュータにだけ、マルウェアを送り込みたい」)。マルウェアの作成者は、悪質なコードをカスタマイズすれば、地域、時間、企業、興味、最近のインターネット利用状況などを基準にして、ほとんどどんなユーザー層でも狙うことができます。マルバタイジングを使えば、悪質な広告を掲載して正規のサイトの評判まで利用できるのです。名の通った信頼できる Web サイトにアクセスしたユーザーは、悪質なコードの標的になるとは思いもしません。悪質な広告を著名な Web サイトに配置するだけで、攻撃者は最大数のユーザーを標的にできるわけです。
保護対策
ノートン セキュリティ、Symantec Endpoint Protection をはじめとするシマンテックのセキュリティ製品をお使いであれば、この記事で紹介した攻撃は以下の IPS 定義で検出されます。
サイト運営者に必要な対処方法と対策
こうした攻撃に対して最も万全な予防策は、ブラウザと Flash を常に最新バージョンに保ち、ノートン セキュリティ など確実なマルウェア対策ソリューションを使うことです。それだけでなく、セキュリティプロバイダ、オンラインパブリッシャなど、広告技術産業に関係している場合には、さらに密接な協力態勢をとって、こうした攻撃が発生するたびに情報を共有することが必要になります。
シマンテックは、この攻撃に影響を受けるサイト運営者に通達を始めました。しかし、該当する数があまりにも膨大なため、広告収入を利用しているブラジルのサイトでは、悪質な広告を根こそぎにする対策を講じてください。そのためには、広告パートナーと連携して、そうした悪質なサイトのブラックリストを作成することです。もちろん、いつものように、オペレーティングシステムとマルウェア対策ソリューションは常に最新の状態に保つことを全員にお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】