偽Flash Playerサイトへの誘導、日本から1万7000件以上、niconico以外でも

「Trend Micro Smart Protection Network」が検知した6月19～23日における偽Flash Playerサイトへのアクセス数分布（トレンドマイクロ公式ブログより画像転載）

　動画サイト「niconico」で一時配信されていた不正なネットワーク広告によって、Flash Playerの更新を促す偽メッセージが表示され、Flash Playerの偽インストールサイトに誘導される事象が発生していた件について、セキュリティベンダーのトレンドマイクロ株式会社が24日、調査結果を発表した。

　日本国内からこの偽Flash Playerのサイトへ誘導された件数は、6月19日から23日までの5日間で、少なくとも1万7173件あったことが分かった。これは、トレンドマイクロ製品を導入しているユーザーの環境から同サイトへアクセスがあったのを検知・カウントしたものだ。その期間、全世界では2万4000件以上のアクセスがあったが、その約7割が日本のユーザーに集中していたことになる。

　なお、niconicoでは、この不正な広告を配信していた広告ネットワークを19日正午までに遮断している。一方、トレンドマイクロの集計では、全世界からのアクセス2万4000件以上のうち、ピークだった19日時点では1万4000件以上を検知。残りの約1万件のアクセスは、20日以降に発生していることが分かっている。19日時点では、日本のユーザーをターゲットにniconicoに配信された広告から誘導されたケースが多かったと思われるが、niconicoが問題の広告を遮断した後にも偽Flash Playerサイトへ誘導されるユーザーがあったことになる。niconico以外のサイトにも同様の広告が配信されていたか、あるいはFlash Playerを使用する正規サイトの改ざんなど、広告とは別の手段でも同サイトへの誘導が行われていた可能性が考えられる。

　トレンドマイクロによると、Flash Playerのインストーラーを装って実行されるのはアドウェアの一種。インストール台数に応じてアフィリエイト手数料が得られるPPI（Pay Per Install）の対象ソフトを勝手にインストールするという。今回の場合は、Flash Playerのインストールを装って「FLV Player」のインストール画面が表示されていた。アドウェアが実行された時点で、感染PCのMACアドレスなどの情報を外部へ送信するが、今回の攻撃に関してはクレジットカードなどの重要情報を送信するような活動は確認できなかったとしている。一方で、動画再生プログラムのほか、不審なシステムユーティリティが勝手にインストールされた事例を確認しているという。

　「攻撃者はインターネット利用者が正規サイトを閲覧している際には警戒心が薄れることに付け込み、今回のような『ネット広告』の悪用や『正規ウェブサイト改ざん』の攻撃を実行しています。現在のインターネットは既に、『怪しくないサイト』を見ているときでも、常に注意が必要な状況になっていると言えます。」（トレンドマイクロ）