ニュース

「niconico」見ている人にFlashの更新を促す偽メッセージ、実はマルウェア

米Yahoo!の広告ネットワークに仕込まれる

 動画サービス「niconico」において6月19日未明から、Flash Playerの更新を促す通知に見せかけて、マルウェアをダウンロードさせるサイトへと誘導するメッセージが表示される事象が発生していた。株式会社ドワンゴと株式会社ニワンゴが発表した。

 株式会社マイクロアドが提供する広告配信ネットワーク「MicroAd AdFunnel」経由で配信された広告に埋め込まれていた悪意のあるスクリプトが原因。ドワンゴなどによると、19日正午までに同広告ネットワークとの通信を遮断したとしている。

Flash Playerの更新を促すポップアップメッセージ(シマンテック公式ブログから画像転載)

 この事象について、セキュリティベンダーの株式会社シマンテックが同社公式ブログにおいて解説している。niconicoを視聴していると「このページは表示できません! Flash Playerの最新バージョンへのアップデート!」といった怪しいポップメッセージが表示され、「OK」ボタンをクリックすると、偽のFlash Playerのダウンロードサイトへリダイレクト。そこから偽のアップデートをダウンロードしてインストールしてしまうと、PCがマルウェアに感染する。

 このマルウェアは、使用しているウェブブラウザーの情報、PCのGUID、ハードディスクのシリアル番号、MACアドレスなどの情報を収集して外部に送信するほか、別のファイルをPCに投下するものだという。

 シマンテックの公式ブログでは偽ダウンロードサイトの画像も掲載しており、デザインなどは正規サイトに似せてあるが、日本語が怪しいことが分かる。例えば「現在インストールされているFlash Playerのバージョンは低いですので、更新してください」「新しいバージョンのFlash Playerは放送速度はもっと速くて、性能は良いとなります」などだ。また、正規のFlash Playerの最新バージョンは「14.0.0.125」だが、偽ダウンロードページでは「11.9.900.152」と記載されている点も異なる。

誘導先の偽ダウンロードサイト(シマンテック公式ブログから画像転載)

 MicroAd AdFunnelを提供するマイクロアドによると、問題となったスクリプトが仕込まれていた広告は米国の提携事業者から配信されていたもので、19日10時ごろに同事業者からの広告配信は停止したとしている。

 なお、MicroAd AdFunnelは、niconico以外の複数のサイトにも導入されているというが、今回の問題が報告されているのは現時点ではniconicoのみだという。マイクロアドでは、米国の提携事業者より20日中に調査報告を受ける予定だとしており、問題の広告が配信され始めた時期や実際に配信されていたサイトなどの情報も含めて、詳細は追って発表するとしている。

【追記 15:10】
 マイクロアドは20日、今回の事象の原因について、米Yahoo!の提供する「Yahoo! AdExchange」が日本向けに広告を配信する際に特定の悪意ある広告が混入したことによるものだったと発表した。この広告は、19日0時ごろから8時ごろまで配信されていたことが確認されたとしている。

【追記 2014/6/23 13:55】
 niconicoは20日夜、被害を受けてしまった人の対策方法について情報を追加した。被害を受けたかどうかの判別方法や被害を受けた場合の復旧方法を掲載した解説ページを、トレンドマイクロ株式会社が公開したことを伝えている(詳細は本誌6月23日付関連記事『「niconico」での広告経由マルウェア、被害者向けの対応方法を説明』などを参照)。

(永沢 茂)