ニュース

ウェブ閲覧者の5.5%が“広告インジェクション”受けていた――Googleが調査報告

 米Googleは6日、閲覧中のウェブページに広告を注入する“広告インジェクション”に関しての調査・研究結果を発表した。カリフォルニア大学バークレー校およびサンタバーバラ校と共同で行ったもので、「Ad Injection at Scale: Assessing Deceptive Advertisement Modifications」と題した論文にまとめている。

 広告インジェクションでは、例えばAmazonやWalmartといった通販ページやGoogleの検索結果ページなどを閲覧した際、本来は掲載されていない広告を挿入したり、本来表示されているはずの広告を別の広告に差し替えるといったことが、サイト運営者に無断で行われる。ブラウザーの拡張機能やアプリケーションソフトによってウェブ閲覧が乗っ取られる仕組みだ。そうした機能を持つ“望ましくないソフトウェア(unwanted software)”をインターネットユーザーにインストールさせるため、アフィリエイトネットワーク経由でマーケティング、人気オンラインソフトとのバンドル、明らかなマルウェア配布、大規模ソーシャルキャンペーンなどが行われているという。

“広告インジェクション”を受けたウェブ画面の例(Googleオンラインセキュリティ公式ブログより画像転載)

 Googleが広告インジェクションを検知するツールを開発。2014年に数カ月にわたって数千万件の事例を収集した。その結果、Googleのサイトを訪れたユーザー(ユニークIPアドレス)の5.5%にあたる数百万ユーザーにおいて、何らかの広告インジェクションを受けていることが分かった。

 また、広告インジェクションを行うChrome拡張機能5万870個とWindowsソフト3万4407個を確認。それらのうち少なくとも30%は明らかに悪意を持ったもので、広告インジェクションと同時にアカウント情報の窃取、 検索クエリの乗っ取り、トラッキングのためのユーザーアクティビティの第三者送信も行っていたという。Windowsからのページビューの5.1%、Macからのページビューの3.4%において、広告インジェクションの兆候が見られたとしている。

広告インジェクション検知ツールの仕組み(「Ad Injection at Scale: Assessing Deceptive Advertisement Modifications」より)

 調査ではこのほか、注入される広告の供給元となっている事業者が25社ほどあることや、注入される広告の77%が特定の3社の広告ネットワークを経由していることなど、広告インジェクションのエコシステムも解明。こうした広告インジェクション事業者が利益を得る一方で、SearsやWalmart、Target、Ebayなどの大手を含む広告主3000社以上が犠牲になっていると指摘している。それらの広告主は、自社サイトへの流入クリックに対して、望ましくないソフトウェアやマルウェア経由であるとは認識せずに広告費を支払っているかたちになるためだ。

 Googleでは、こうした広告インジェクションエコノミーの問題を提起し、広告業界が複雑なこの問題をよく理解し、共同で取り組めるようにするために調査を実施したと説明している。また、Chrome ウェブストアからは、広告インジェクションで1400万人に影響を与えたChrome拡張機能192件を、同ストアのポリシー違反で削除。あわせて、ユーザーをだますようなソフトウェアをダウンロードしようとした際に警告を表示する機能をGoogle ChromeやSafe Browsing APIを通じて提供するなどの対応も行ったという。

注入された広告の例(Googleオンラインセキュリティ公式ブログより画像転載)

(永沢 茂)