シリーズ:広告運用者のための情報セキュリティ 第4回 マルバタイジング(不正広告)とは

ここまで3回に分けて情報セキュリティの基本的なことがらについてお話をしてきました。
まだご覧になっていない方は過去の記事も合わせて読んでいただくと、理解の役に立つかと思います。


第1回 情報セキュリティ入門

このシリーズでお伝えしたいこと2015年くらいから Malvertising(マルバタイジング)というインターネット広告を悪用した情報セキュリティ攻撃の事例をニュースで見かけ...


第2回 マルウェアについて知ろう

今回取り上げるマルウェアは情報セキュリティへの脅威として必ず知っておくべきことがらになります。広告運用者向けに特化した内容ではありませんが、ぜひ押さえていた...


第3回 マルウェアの騙しの手口と脆弱性

前回は、マルウェアも普通のソフトウェアと同様なので、起動しなければ脅威にならないというお話をしました。ところが現実にはマルウェアの被害が多く発生しています。...


今回は、広告運用者であれば知っておきたいマルバタイジング(以下、不正広告といいます)についてです。
不正広告がどのようにして情報セキュリティに脅威を与えているかを理解していただければと思っています。


アプリインストールを目的とした不正広告

アプリインストールを目的とした不正広告は、マルウェアのダウンロードとインストールを目的とした不正広告です。
もっともストレートで分かりやすい不正広告ですが、「トロイの木馬」のように見た目にはマルウェアと分からないものもありますので注意が必要です。


PC向けソフトウェアのダウンロード販売を目的とする案件や、スマートフォン向けのアプリインストールを目的とする案件などでは、対象のアプリがマルウェアでないか確認していただくと良いかと思います。


LP(Landing Page)へのアクセスを目的とした不正広告

LPへのアクセスを目的とした不正広告は、悪意ある仕掛けが含まれるLPに誘導することを目的とした不正広告です。


LPの悪意ある仕掛けとして、代表的なものを2つ取り上げます。


クロスサイトスクリプティング

クロスサイトスクリプティングという攻撃は、あるサイトの脆弱性を利用して、そのサイトを利用する被害者から個人情報などを盗み出す攻撃方法です。


クロスサイト・スクリプティング(情報処理推進機構)

情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施


上記のリンク先を参照していただくとクロスサイトスクリプティングの攻撃の手順が図に示されています。
攻撃の手順は次のように説明されています。


  1. 攻撃者がBさんの掲示板に罠を仕掛ける
  2. A子さんがBさんの掲示板を見る
  3. A子さんが罠のリンクが入ったページを表示し、リンクをクリックする
  4. Bさんの掲示板からX社のウェブサイトに移って(クロス)、悪意を持った命令(スクリプト)を送ってしまう
  5. 悪意を持った命令(スクリプト)がユーザのブラウザで実行され、偽のページが表示される
  6. 偽ページにユーザがだまされて、個人情報などを攻撃者に送ってしまう


不正広告を使った場合の攻撃の手順は、以下のように「Bさんの掲示板」を「不正LP」に読み替えてください。


  1. 攻撃者が罠を仕掛けた不正LPを作成し不正広告を配信する
  2. A子さんが不正広告を見てクリックする
  3. A子さんが罠のリンクが入った不正LPのリンクをクリックする
  4. 不正LPからX社のウェブサイトに移って(クロス)、悪意を持った命令(スクリプト)を送ってしまう
  5. 悪意を持った命令(スクリプト)がユーザのブラウザで実行され、偽のページが表示される
  6. 偽ページにユーザがだまされて、個人情報などを攻撃者に送ってしまう


盗み出される情報は「X社のウェブサイト」で扱っている個人情報になりますので、ショッピングサイトなどクレジットカード番号を扱っているサイトの場合には、金銭的な被害につながる可能性もあります。


CSRF(クロスサイト・リクエスト・フォージェリ)

CSRF(クロスサイト・リクエスト・フォージェリ)という攻撃は、あるサイトの脆弱性を利用して、そのサイトにログインしている利用になりすまして攻撃者が操作する攻撃方法です。


極端な例としては、インターネットバンキングのセキュリティ対策が不十分だった場合、この攻撃の対象となったら、攻撃者の銀行口座にお金を振り込んでしまう、ということになります。
(当然しっかりとセキュリティ対策がされているので実際にそのようなことにはなりません)


CSRF (クロスサイト・リクエスト・フォージェリ)(情報処理推進機構)

情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施


上記のリンク先を参照していただくとクロスサイトスクリプティングの攻撃の手順が図に示されています。


攻撃の流れは、クロスサイトスクリプティング同様に「Bさんの掲示板」を「不正LP」に読み替えてください。


  1. 攻撃者が罠を仕掛けた不正LPを作成し不正広告を配信する
  2. A子さんが不正広告を見てクリックする(SNSログイン済み)
  3. A子さんが罠のリンクが入った不正LPのリンクをクリックする
  4. 不正LPからW社のウェブサイトに移って(クロス)、ユーザの要求を偽って(フォージェリ)、悪意を持って細工された要求(リクエスト)が送られる
    結果、友達にのみ公開していた情報が全ての人に公開されてしまう


クロスサイトスクリプティング、CSRF(クロスサイト・リクエスト・フォージェリ)に共通して言えることですが、IPAの説明にあるような「Bさんの掲示板」といった特定のサイトを使った場合には、被害を受けるのは特定のサイトの利用者のみでしたが、不正広告を使った場合、被害を受ける対象が拡大されることになるでしょう。


ただし、実際にはブラウザのセキュリティ機能、広告媒体によるLP審査、対象ウェブサイトのセキュリティ対策がそれぞれ機能しているでしょうから、具体的な被害に結びつくことは少ないように思います。
とはいえ、ブラウザの脆弱性、審査の見落とし、対象ウェブサイトの脆弱性が重なることがないとは言えませんので、対策は必要でしょう。


広告のクリエイティブ拡散を目的とした不正広告

広告のクリエイティブ拡散を目的とした不正広告は、すでに攻撃対象のPC等に入り込んだマルウェアに対する攻撃の補助手段です。
マルウェアが広告クリエイティブとして配信される画像を監視し、画像の内容に応じて動作内容を変える、といった使い方をされます。


攻撃開始のトリガーとして

あるアプリをインストールした、またはあるサイトを訪問した、そのすぐ後に被害を受けた、という場合、直前にインストールしたアプリや直前に訪問したサイトが疑われるでしょう。


マルウェアの配布と、マルウェアによる攻撃に時間差があれば、配布の段階ではマルウェアとして疑われずに拡散させることができる可能性が高くなります。


攻撃開始のタイミングをタイマーでセットすることも可能ですが、攻撃開始のトリガーとなる特定の画像クリエイティブを表示したときに攻撃を始めるようにしておけば、攻撃者は任意のタイミング(十分に拡散した後)に攻撃を始めることができます。


サーバー移転への対応として

個人情報などを盗み取る攻撃の場合、盗み取った個人情報の送り先(サーバー)を用意する必要があります。
そういったサーバーはセキュリティ対策によって停止させられることもあるでしょうし、攻撃者自身も追跡を逃れるために転々と移転させます。


マルウェアの中にサーバー情報を含めてしまうと、サーバーが移転したら使い物にならなくなってしまいます。(攻撃者にとっては、せっかく個人情報を盗み取れるのに回収できない、という事態になってしまいます)


そこで、画像クリエイティブにサーバー情報を埋め込んで拡散させることで、後からサーバー情報を変えることができます。


今回のまとめ

不正広告には、マルウェアの拡散、悪意ある仕掛けのあるLPへの誘導、マルウェアによる攻撃をコントロールするための情報の拡散、といったいろいろな使われ方があることを知っていただけたことと思います。


広告運用そのものは正当なものであっても、ネット広告には多くのウェブ関連技術が組み合わせられているため、そこに不正の入り込む余地ができてしまっています。


もしも、不審に感じるもの(挙動のあやしいLPなど)があったら、IPAに情報提供することで社会全体の脅威を減らすことができるかもしれません。
情報提供にあたっては以下リンク先を参照してください。


情報提供受付について(情報処理推進機構)

情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施

著者

Related posts

Top