米大手ニュースサイトなどに不正広告が混入、脆弱性攻撃サイトへリダイレクト、有効期限切れドメインを悪用か

　米国の大手ニュースサイトなどに不正広告が配信され、これを表示したPCが脆弱性攻撃サイトにリダイレクトされる状態だったことを、米Trend Microや米Trustwave、米Malwarebytesが報告している。

　リダイレクト先には、PCの脆弱性を攻撃してマルウェアをダウンロードする「Angler」エクスプロイトキットが仕掛けられていた。Anglerは、Adobe FlashやSilverlightなどの脆弱性を悪用することが知られているが、今回使われていたエクスプロイトキットでは、Microsoftが1月の月例パッチで修正したばかりのSilverlightの脆弱性も使われていたという。

Trend Microが観測した、米国での「Angler」エクスプロイトキットの活動数推移。3月13日に突出して増えているのが分かる

　Trustwaveによると、不正広告の配信が確認されたサイトは「answers.com」「zerohedge.com」などの米国の人気ウェブサイト。また、Malwarebytesでは「msn.com」「bbc.com」「aol.com」「newsweek.com」などの大手サイトも挙げており、不正広告はGoogleやAOL、AppNexus、Rubiconといった広告ネットワークを経由して配信されていたとしている。

　こうした大手の広告ネットワークに不正広告が流入した原因として、Trustwaveでは、正規の広告会社が所有していた有効期限切れのドメインを攻撃者が取得した可能性を指摘している。2016年1月1日に期限が切れた、とある広告会社のドメインを以前の登録者と異なる何者かが3月6日に登録していることを確認したという。