大規模なマルバタイジング攻撃により 288 サイトが感染

Netherlands. Image courtesy of Shutterstock.

マルバタイジング (悪意のある広告) を使用した大規模な攻撃により、オランダの数多くの人気サイトにアクセスした数百万人のユーザーが影響を受けています。

この攻撃が開始されたのは 4 月 10 日 (日曜) のことです。この日、マルウェアエクスプロイトキットを使用したインシデントが急増していることをセキュリティ企業の Fox-IT 社が確認しています。

確認されたエクスプロイトキットのうちの 1 つは、CaaS (Crimeware-as-a-Service: サービスとしてのクライムウェア) である悪名高い Angler でした。サイバー詐欺師たちはこのキットを使用して、CryptoWall 4.0 ランサムウェアなどさまざまなマルウェアを拡散しています。

4 月 11 日 (月曜) の時点で少なくとも 288 件の Web サイトがマルバタイジングに感染しており、数百万ユーザーが悪質な広告にさらされています。

攻撃の影響は、オランダ語のニュースポータルで最もアクセス数の多い Nu.nl にも及んでいます。

Nu.nl だけを見ても、この 3 月にアクセスしたユーザー数は 5,000 人を超えます (Tech Week Europe による推定数)。

Fox-IT 社によれば、その他にも eBay に似たサービス Marktplaats.nl や、ニュース/カルチャーのサイトなども影響を受けています。

今回の攻撃キャンペーンは、影響を受けたサイトで使用されている広告プラットフォームから始まっています。Fox-IT 社が問題の広告プロバイダーに問い合わせたところ、関与している悪意のあるサイトをブロックするようにいち早く対応した、と回答しました。

しかし、悪意のあるコードを拡散しているサイトは現在フィルタリングされてはいるものの、インターネットからは遮断されていません。

以下は Fox-IT 社の投稿の抜粋です。

(引用文日本語訳) [広告プロバイダーは] 影響を受けたコンテンツプロバイダーを今後追跡するはずです。なぜなら、差し当たりフィルタリングされているだけで、この問題が完全に解決された訳ではないからです。

この攻撃は、エクスプロイトキットにユーザーをリダイレクトする外部スクリプトをロードすることによって機能します。

Fox-IT 社によると、以下の 2 つのドメインの関与が疑われており、リダイレクトを阻止するにはこれらのドメインをブロックする必要があります。

traffic-systems.biz (188.138.69.136)
medtronic.pw (188.138.68.191)

Angler の仕組み

エクスプロイトキットの仕組みについては、SophosLabs が発表したこちらの調査レポートをお読みください。クライムウェア専門家 Fraser Howard が Angler について詳しく解説しています。

💡 詳細はこちら: Angler エクスプロイトキットの詳細 ►

Fraser は、エクスプロイトキットの仕組み (犠牲となるユーザーを獲得する方法やセキュリティ研究者とのいたちごっこの状況など) を説明しているだけでなく、重要な対抗策も提示しています。

マルバタイジングとは

Angler は、マルバタイジング を使用して配布されるマルウェアの 1 つです。

マルバタイジング (malvertising) とは、悪意のあるオンライン広告 (malicious online advertising) の略語で、通常は信頼できるサイトが、表示した広告の 1 つにブービートラップが仕掛けられていて、マルウェアあるいは不要なコンテンツをユーザーのコンピュータに送り込もうとするたために、一時的に悪意のあるサイトに変わってしまうものです。

こうした悪意のある広告を用いた攻撃によって、Daily MailForbes などの大手ニュースサイトがすでに影響を受けています。

広告ブロック機能の必要性

皮肉なことに、Forbes がマルバタイジング攻撃を受けたのは、同社が「無料コンテンツ」の収益確保のためにユーザーに対して広告ブロック機能の無効化を依頼した直後のことでした。

しかし、当時ソフォスが報告したとおり、SophosLabs がテストを実施した結果、繰り返しアクセスするユーザーに対して Forbes は 100 件を優に超える広告提供ドメインを使用していたことが明らかになっています。そのため、ユーザーが広告ブロック機能を無効にすると、一目見ただけでは分からない大きなリスクが発生します。

コンテンツプロバイダー側は、もしも広告がブロックされてしまえば広告料が得られなくなり、広告に支えられている「無料」コンテンツは壊滅な被害を受けると主張しています。

しかし、攻撃力の強い Angler エクスプロイトキットなどのマルウェアが出回っている現在、ウイルス対策機能を無効にするのは、インストールしたソフトウェアを台無しにするのと同じことです。

無効を求めるどちらのリクエストに対しても、絶対に応えてはいけません。

💡 詳細はこちら: マルバタイジング – 信頼していた Web サイトが悪意のあるサイトに変わる時 (収録済みウェビナー) ►

Image of Netherlands flag courtesy of Shutterstock.com