「広告」を悪用する感染手法が拡大。「日本」を狙い撃ちするケースも

サイバー攻撃者がユーザーのPCにマルウェア感染させる手法は、メールの添付ファイルと改ざんされたサイトへの誘導が一般的です。しかし最近、サイトに表示される広告を悪用する手法が多く検知されるようになっています。こうした広告は広告用のネットワークから配信されるため、サイト側での検出が困難であるという特徴があります。

最近の事例では、2015年2月に動画共有サイトでのマルウェア感染が増加しました。これは動画共有サイトで不正広告がホストされていたというもので、広告に「Adobe Flash Player」の脆弱性を悪用するコードが埋め込まれていました。Webサイトを表示した際に悪意のあるコードが自動的に実行するよう、サイト自体を作り込んであったため、脆弱性のある「Adobe Flash Player」がインストールされているPCでサイトにアクセスすると、自動的にコードが実行されます。

コードが実行されると、エクスプロイトキットが設置されたサイトに誘導され、PCにマルウェアがダウンロードされる仕組みです。この事例ではマルウェアがエンコード化されており、セキュリティ対策ソフトの検出を困難にさせていました。ダウンロードされたマルウェアは、ランサムウェアや遠隔操作ツール、あるいはさらなるマルウェアをダウンロードするものでした。

※エクスプロイキット:複数のエクスプロイトコード(エクスプロイト)をパッケージ化して、様々な脆弱性攻撃に対応できるようにしたプログラムのこと。
※エンコード化されたマルウェア:検出回避策を使っており、ウイルス検査ではなかなか発見できないマルウエア。
※ランサムウェア:マルウェアの一種。
※遠隔操作ツール:パソコンを離れた場所から遠隔操作することができるソフトウェア。

この事例では、不正広告はサイト内にホストされていました。このため、サイトのコードをチェックすれば不正広告であることを確認できます。しかしその後、広告配信ネットワークを狙う攻撃も増加しました。広告配信ネットワークを利用しているサイトでは広告を直接ホストせず、広告用の「枠」を用意する形になるため、そこに不正広告が配信されてもサイト側で把握することは難しいのです。

2015年5月には、米国のWeb広告配信ネットワーク「MadAdsMedia」を悪用した大規模な攻撃がありました。この攻撃では、配信される広告そのものにマルウェアや不正なコードを埋め込む手法ではなく、広告配信ネットワークによる広告を表示するためのJavaScriptを細工するという手法が使用されました。これによりユーザーは、Adobe Flash Playerの脆弱性を悪用する「Nuclear Exploit Kit」がホストされたサーバへ誘導されました。

広告配信ネットワークを経由して広告バナーを改ざん、“悪意あるサーバ”へと誘導する
広告配信ネットワークを経由して広告バナーを改ざん、“悪意あるサーバ”へと誘導する

「日本語/日本画像」の広告が「日本サイト/日本ユーザー」を標的に

さらに2015年9月には、日本のユーザーを標的とした不正広告を悪用した攻撃が確認されました。この攻撃では、慎重すぎるほどにターゲットを絞り込んでいました。基本的には広告配信ネットワークを悪用する攻撃で、攻撃者はこれを悪用し、約3000のサイトに不正広告を表示、脆弱性攻撃ツール「Angler Exploit Kit」を利用した攻撃サイトへ誘導していました。

表示された不正広告はすべて日本語の広告であり、バナーには日本各所の観光協会やオンラインショップが使用していた画像を使っていました。また不正広告を表示するサイトは、日本のISPにホストされた人気の高い日本語のニュースサイトやブログなどに限定し、さらに攻撃サイトへ誘導するのは日本国内のIPアドレスのみとなっていました。

しかも、攻撃サイトへ誘導する前に攻撃者のトラフィック検出システムに誘導し、プロキシサーバを経由していないことや、PC内フォルダをチェックしてセキュリティ対策ソフトの有無をチェックしていました。プロキシサーバを経由している場合や、特定のセキュリティ対策ソフトがインストールされている場合には、コードの実行を中止するという念の入れようだったのです。

こうした攻撃者による「条件」をクリアしたユーザーは攻撃サイトに誘導され、「Angler Exploit Kit」によるドライブ・バイ・ダウンロード攻撃 でさまざまなマルウェアをダウンロードしてしまうことになります。トレンドマイクロによると、この攻撃は3回のピークがあり、その間に50万のユーザーが不正広告をクリックしたとしています。

ドライブ・バイ・ダウンロード攻撃とは?

今回の日本のユーザーを標的とした不正広告攻撃の「条件」をみると、ITやセキュリティのリテラシーが低い個人ユーザーを狙ったものと考えられます。攻撃者は、そういったユーザーであればランサムウェアにより請求される“身代金”も支払われやすいと考えたのかもしれません。企業などを狙う標的型攻撃も同様ですが、ここ1~2年で日本が狙われるケースが急増しているため、ユーザーひとり一人のセキュリティ意識を向上させることが急務と言えそうです。