昨年(2014年)12月から今年(2015年)1月にかけて、Googleの『AdSense』の広告を表示したwebサイトで違法・不正サイトにリダイレクト(転送)されるという事件が発生して、Googleが緊急に対応していた事が判明した…。
この事件は、Google広告の複数のアカウントが乗っ取られ、不正広告に変更されていたと推定されている。そしてその広告の掲載サイトが表示された場合、ユーザーがクリック等をしなくても、自動(強制)的に不正サイトにリダイレクト(転送)される仕組みになっていたとされる。
この不正なリダイレクト問題は昨年(2014年)12月から発生していた模様だが、本年(2015年)1月9日頃から苦情・クレームが急増して明らかとなった。その後、Googleが対応に乗り出して、11日にはほぼ問題は収まった様だ。(出典元:1月16日付け ITmedia 記事 など)
しかしこの問題を切っ掛けに(以前にも類似の事象はあったが)、Googleの『AdSense』や『AdWords』に極めて深刻なセキュリティ上の欠陥があるのでは、との疑いが提起されている。今後、Googleが抜本的な対策を実行しないと、『AdSense』はいずれ最悪最大のマルバタイジングのプラットフォームになりかねない、との指摘もあるのだ。
さてそこで、マルバタイジング(malvertising)とは何かを説明すると、オンライン広告を通じて実行されるマルウェア(悪意あるソグトウェアやコードなど)の感染・拡散や違法・不正サイトへのリダイレクト(転送)といった悪質な行為のこと、もしくはそうした悪意ある仕組みが組み込まれているオンライン広告自体のことを言う。
またマルバタイジング(malvertising)の名称は、malicious(悪意のある)とadvertising(広告)を組み合わせた造語であるらしい。
マルバタイジングの多くのタイプは、オンライン広告のJavaScriptに悪性のコードを巧妙に隠して組み込み、正規の広告を装い配信するものである。
その広告をクリックすると、不正な内容のwebサイトや、悪質なマルウェアや迷惑なソフトウェアがインストールされてしまうサイトに自動的にリダイレクトされてしまうものだ。更に悪質なタイプは、当該の広告をクリックしなくても(広告が掲載されているwebページにアクセスするだけで)マルウェアに感染してしまう場合もあると云う。
マルバタイジングの特徴には、サイトやホストサーバーの脆弱性を悪用しないということがある。つまり、マルバタイジングにおいては、広告の媒体となるサイトそのものを改竄する必要は無く、悪意のあるコードを広告に組み込めば、その広告が掲載された後は自然と仕掛けたマルウェアが感染を広げ、サイバー犯罪者は直接手を下すことなく目的を果たすことが可能であるからだ。
そして現実には、この種の悪意が仕込まれた広告が善良で優良な企業のサイトに掲載(リンク)されている場合もあるのだ。
近年、増加傾向が続くマルバタイジングだが、ここ5年程度で約30~50倍にも拡大しているとの報告もある。また現状では、web広告事業に関連する企業の大多数が、少なくとも一度はマルバタイジングの被害を受けたことがあるとされている。
非常に悪意のあるマルウェアの場合は、対象者(被害者)が気付かぬ内に、その該当するPCなどの持つ記録データが盗まれ、各種の機能が乗っ取られて遠隔操作されてしまうのだ。
また軽度のものでも、ログイン情報程度の個人データを盗む機能などは当然持っているだろう。更に対象者(被害者)のPCやスマートフォンが、スパム送信用ボットネットに組み込まれてしまうことなども考えられ、こうして対象者(被害者)が重大な犯罪に知らず知らずの内に巻き込まれる可能性が発生してしまうのだ。
ところが実際のマルバタイジングの中には、誰もがマルウェアと認識可能な、明確に悪意が感じられるようなソフトウェアが含まれていない場合もあり、それはそれでより大きな問題なのである。
そこには、対象者(被害者)の許可を得ずに追跡用Cookieを埋め込むタイプや、それ自体は合法的なソフトウェアであっても許可なく(対象者が知らない間に)インストールされてしまうものなどもある。更には、利用者に提示・説明している以上の行動を独自に実行するソフトウェアなどが潜んでいる広告もあるのだ。
これらに関しては、対象者(被害者)が被害を受けていることに長期間気付かない場合も多い。また被害そのものも極(ごく)軽微であったりして、放置されてしまう場合も見受けられる。しかしその代償は非常に大きなものとして、やがて被害者にのしかかってくるのである。
ネット利用者のマルバタイジング対策に関しては、万一、悪意ある広告に接触してもマルウェアやウィルスに感染しない様に、最新のウィルス対策(アンチウイルス)ソフトの導入と、OSや各種ソフトウェア等には常に新しいセキュリティパッチを適用するかバージョンを更新(自動アップデートがお勧め)することが、先ずは基本的な対策である。
また、ネット利用の際には、知人などからのメールでも充分確認した上でなければURLや添付ファイルは開かないこと、ツイッターやフェイスブックなどにある出所不明のURL等は絶対にクリックしないこと、また無料プレゼントをうたうサイトや無料(フリー)で視聴が可能な音楽や動画、写真や漫画などの画像を配信しているサイト等には無闇(むやみ)にアクセスをしないこと(『無料(タダ)より怖いものはない』という教えの再確認)、及び、少しでも如何わしく不審な広告やDLボタン等は決してクリックしないこと、などが重要であり賢明と思われる。
結局、被害者とならない為の利用者の心掛けとしては、ネット上にはサイバー犯罪者によって仕掛けられた悪質な罠が多数存在していることを常に意識して、無警戒で不用意な行動をとらないことが、やはりトラブル回避の王道の様だ…。
また、日進月歩のインターネット業界、利用におけるリスクを充分理解しながら仕事やプライベートに安心して活用出来るように、最新の業界動向を知るべく普段から情報収集に心掛ける必要がある様だ。
-終-
《スポンサードリンク》
