ニュース

不正広告へのアクセスが日本から900万件、金銭を狙った不正プログラム感染の温床に

 トレンドマイクロ株式会社は2日、ウェブ上に広がる不正広告の現状について報告した。調査には、同社のクラウド型セキュリティ技術基盤である「Trend Micro Smart Protection Network(SPN)」を利用している。

 トレンドマイクロでは、昨今のウェブ経由の攻撃において、エクスプロイトキット(脆弱性攻撃ツール)を設置したサイトへの誘導が主要な攻撃手法になっていると指摘。攻撃者は脆弱性攻撃サイトへリダイレクトするスクリプトを改ざんサイトに設置し、ユーザーに気付かれないよう誘導する。これにより、ユーザーは不正プログラム感染やフィッシング詐欺などの不正なサイトに誘導される。

 日本国内からアクセスを集めた脆弱性攻撃サイトについて脅威連鎖の追跡調査を行っているリージョナルトレンドラボによると、国内ユーザーの不正サイトへの誘導は、7月までは改ざんされた正規サイトを経由するものがほとんどだったが、7月以降に確認した脆弱性攻撃サイト29件では、誘導経路のうち34%が不正広告経由だったという。一般の正規サイト改ざんでは、攻撃範囲が該当サイトにアクセスしたユーザーに限定されるが、不正広告であればアドネットワークなどを通して多くの正規サイトへ配信される。トレンドマイクロが今回確認した不正広告は、少なくとも600の正規サイトに配信された可能性があるという。

脆弱性攻撃サイトへの誘導スクリプトが設置されていたサイト種別

 実際の事例として、海外4つの広告ホスティング事業者が管理するドメインにホストされた複数の広告に、広告を表示しただけでユーザーを不正サイトにリダイレクトする仕組みが仕掛けられていたという。SPNの統計では、不正広告をホストした7つのサーバーに対し、7月1日から8月21日までの期間に、900万件以上の日本からのアクセスを確認。いずれのサーバーも日本からのアクセスが5~8割を占めており、不正広告が配信されていた正規サイトには、まとめサイトやアダルトサイトに加え、各種メディアサイト、動画などの各種サービス、オンラインゲームなども含まれていたという。

7月以降に確認した不正広告の表示例

 不正広告の表示枠は、時間帯やユーザーの属性に合わせて変化することが多く、攻撃自体が短時間で移動する。調査が難航する場合が多く、攻撃者にとって不正広告が有効な攻撃手法となっているという。不正広告を経由して感染した不正プログラムは、ネットバンキングを狙ったオンライン銀行詐欺ツールや、身代金を要求するランサムウェアが多い。実際、不正プログラムを特定できたケースのうち、41%が「ZBOT」などのオンライン銀行詐欺ツールだったほか、26%が「CRYPTWALL」などの暗号化型ランサムウェアだった。トレンドマイクロでは、攻撃者の最終目的は金銭であるとしている。

7月以降に確認した不正広告経由で感染する不正プログラム種別

 脆弱性攻撃サイトで使用されているエクスプロイトキットは、Internet Explorer、Java、Adobe Flash Player、Adobe Reader、Silverlight、ActiveXなどの脆弱性を利用したものであり、最新のアップデートを適用することで、ゼロデイ以外の攻撃について防御できるとしている。もし、アップデートを適用せず脆弱性を放置していた場合、正規サイト上の不正広告が表示されただけでアクセス誘導が行われ、脆弱性攻撃が発動する可能性があるとしており、いわば「正規サイトを見ただけで被害に遭う」攻撃だとしている。

(山川 晶之)