気づかぬうちに被害に?悪意のある広告の脅威を知ろう
マルバタイジングって何?
マルバタイジング (Malvertising) とは、「Malicious (悪意のある)」と「Advertising (広告)」を組み合わせた造語です。
つまり、インターネット広告を悪用して、マルウェア(ウイルスなどの悪意のあるソフトウェア)を広めたり、詐欺サイトへ誘導したりするサイバー攻撃の一種です。
普段よく見るウェブサイト(ニュースサイト、ブログ、趣味のサイトなど)に表示される広告に、悪意のあるコードが仕込まれていることがあります。
この攻撃の怖いところは、信頼しているウェブサイトに表示される広告を通じて行われるため、多くの人が「まさかこの広告が危険だとは」と思ってしまう点です。 広告は正規の広告配信ネットワークを通じて配信されるため、ウェブサイト運営者も、広告を見ている私たちユーザーも、見分けるのが非常に難しい場合があります。
また、広告によってはクリックしなくても、ページが表示されただけでマルウェアに感染してしまう「ドライブバイダウンロード」という手口も存在します。
マルバタイジングの仕組み
マルバタイジングは、主に以下の流れで実行されます。
- 攻撃者が広告を作成・侵入: 攻撃者は、悪意のあるコード(マルウェアをダウンロードさせたり、不正なサイトに誘導したりするプログラム)を埋め込んだ広告を作成します。または、正規の広告や広告配信用サーバーに不正アクセスしてコードを注入します。
- 広告ネットワークに配信依頼: 攻撃者は、身元を偽るなどして、正規の広告配信ネットワーク(アドネットワーク)に、その悪意のある広告を登録します。アドネットワーク側も、巧妙に作られた悪意のある広告を完全に見抜けないことがあります。
- ウェブサイトに広告が表示: アドネットワークを通じて、その悪意のある広告が、提携している様々なウェブサイトに配信・表示されます。これには有名なニュースサイトや企業サイトも含まれる可能性があります。
- ユーザーが被害に遭う:
- クリックによる被害: ユーザーが表示された広告をクリックすると、不正なウェブサイトに誘導されたり、マルウェアのダウンロードが始まったりします。
- 表示だけで被害(ドライブバイダウンロード): 広告に仕込まれたプログラムが、ユーザーのパソコンやスマートフォンのOS、ブラウザ、プラグイン(拡張機能など)の脆弱性(セキュリティ上の弱点)を悪用し、ユーザーが何もしなくても自動的にマルウェアを感染させます。
このように、広告ネットワークという仕組みを悪用することで、攻撃者は広範囲のユーザーをターゲットにすることが可能になります。
マルバタイジングの手法と被害
マルバタイジングは、様々な手法でユーザーに被害を与えます。
| 手法 | 説明 | 具体的な被害例 |
|---|---|---|
| ドライブバイダウンロード | ウェブページや広告を表示しただけで、ユーザーが気づかないうちにマルウェアが自動的にダウンロード・実行される。ブラウザやOSの脆弱性が悪用されることが多い。 | ランサムウェア(身代金要求型ウイルス)、スパイウェア(個人情報窃取)、ボット(遠隔操作)などのマルウェア感染 |
| 不正サイトへのリダイレクト | 広告をクリックすると、意図しない危険なウェブサイト(フィッシング詐欺サイト、偽の警告を表示するサポート詐欺サイトなど)へ強制的に転送される。 | 個人情報(ID、パスワード、クレジットカード情報など)の窃取、金銭被害 |
| 偽のソフトウェア更新・警告 | 「お使いのソフトウェアは古くなっています」「ウイルスに感染しました」といった偽のメッセージを表示し、偽の更新プログラムや駆除ソフトと称してマルウェアをインストールさせようとする。 | マルウェア感染、個人情報窃取 |
| エクスプロイトキットの実行 | 広告をクリックしたり表示したりすると、ユーザーのシステムをスキャンし、脆弱性を見つけてそれに応じたマルウェアを送り込む「エクスプロイトキット」が実行される。 | 様々な種類のマルウェア感染、システムへの不正アクセス |
被害に遭うと…
- 個人情報や金融情報が盗まれる
- パソコンやスマホがロックされ、身代金を要求される(ランサムウェア)
- オンラインバンキングの不正利用
- 自分のデバイスが、他の人を攻撃するための踏み台にされる
- 企業の場合、機密情報が漏洩し、信用を失う
過去のマルバタイジング事例
マルバタイジングは新しい攻撃ではありませんが、手口を変えながら継続的に発生しています。
- 2010年代初頭~: 古くから確認されており、大手ニュースサイトやポータルサイト(例:Yahoo! (2013年頃)、Los Angeles Times (2012年頃)、Spotify (2011年頃) など)が意図せずマルバタイジングの配信元となった事例が報告されています。これらの攻撃では、サイト訪問者が悪意のある広告を表示しただけでマルウェアに感染するドライブバイダウンロードが多く利用されました。
- 2014年頃: Yahoo!の広告ネットワークを通じて大規模な攻撃が発生し、数百万人のユーザーに影響が出たとされています。特定の脆弱性を持つコンピューターにマルウェアが自動インストールされました。
- 2015年頃: 日本国内でも、マルバタイジングによってパソコンがマルウェアに感染し、さらにランサムウェアが送り込まれてファイルサーバー上のファイルまで暗号化される被害事例が確認されています。この事例では、ウイルス対策ソフトで検知されないマルウェアが複数使用されていました。
- 近年: プラグイン(例:Silverlight)の脆弱性を悪用した攻撃や、より巧妙な手口(例:偽の法執行機関サイトにリダイレクトして罰金の支払いを要求するなど)も報告されています。最近では、ビジネスチャットツールSlackの偽広告を使ったマルバタイジング攻撃も分析されています。
これらの事例からわかるように、有名なサイトだから安全とは限らず、常に注意が必要です。
マルバタイジングから身を守るには?
マルバタイジングは完全に防ぐことが難しい攻撃ですが、被害に遭うリスクを減らすためにできる対策があります。
- OS・ブラウザ・ソフトウェアを常に最新の状態にする: 脆弱性を悪用されることが多いため、アップデート通知が来たら速やかに適用しましょう。特にブラウザやプラグイン(Java, Flash Playerなど、現在は利用が減っていますが)は重要です。
- セキュリティソフトを導入し、常に最新の状態に保つ: 信頼できるセキュリティソフトは、既知のマルウェアや不正なサイトへのアクセスを検知・ブロックしてくれます。
- 不審な広告やポップアップはクリックしない: 「当選しました!」「ウイルスに感染しています!」といった過度に魅力的な、または不安を煽る広告には注意が必要です。少しでも怪しいと感じたらクリックしないようにしましょう。
- 広告ブロック機能(アドブロッカー)を利用する: 広告自体を表示させないことで、マルバタイジングのリスクを減らすことができます。ただし、ウェブサイトによっては広告収入で運営されているため、利用は自己責任で判断しましょう。一部のセキュリティソフトには広告ブロック機能が含まれている場合もあります。
- 怪しいリダイレクトに注意する: 広告をクリックした後、意図しないサイトに飛ばされた場合はすぐにタブやブラウザを閉じましょう。
まとめ
マルバタイジングは、私たちが日常的に利用するウェブサイトの広告に潜む、見えにくい脅威です。広告をクリックしなくても被害に遭う可能性があるため、油断は禁物です。
基本的なセキュリティ対策(OSやソフトのアップデート、セキュリティソフトの利用)をしっかり行い、怪しい広告には近づかない意識を持つことが重要です。インターネットを安全に楽しむために、マルバタイジングのリスクを理解し、対策を心がけましょう。