エグゼクティブ サマリー
企業が直面している難題のひとつは、ユーザの自由なアクセスを保ちながら、悪意のある広告(マルバタイジング)は積極的にブロックするという、2 つの相反する課題でバランスを取ることです。Web ブラウザに基本的な広告ブロッカーをインストールするだけで完全な保護を期待でる日々は過ぎ去りました。広告ブロッカーの無効化を要求するサイトが登場し、料金を支払えば広告主がブロッカーを回避できるようになった今、広告ブロッカーだけでは不十分です。
後述するように、マルバタイジングは Web ブラウジング時だけに起こるという単純な問題ではありません。アドウェアや望ましくない可能性があるアプリケーション(PUA)など、他のソフトウェア プログラムに付属していることもあるからです。最大の注意が必要なのは後者のケースです。今日の企業には、悪意のある脅威から保護するために、広告に対する積極的なアプローチが求められています。DNS の保護や、ファイアウォール、侵入防御システム、または Web セキュリティ プラットフォームを通じた追加の防御策が必要になることもあります。どのような防御策であれ徹底することが重要です。また、セキュリティへの影響だけでなく、ユーザへの連鎖的な影響も考慮する必要があります。
広告はインターネット全体の鍵を握る要素です。一般的には認識されていないかもしれませんが、インターネットの最も基本的な構成要素のひとつでもあります。大量のコンテンツを無料で閲覧できる理由のひとつが、広告の存在です。広告によって、人々が情熱を燃やすプロジェクトや、小規模ビジネス、世界中のグルメ情報などが支えられています。しかし広告は非常に複雑で入り組んだシステムであるため、悪用される可能性が高いのも事実です。悪意のある広告は、突然マルウェアを配信したり、Web ページの脅威を予期していない従来ユーザを騙したりする可能性があるため、誰にとっても無視できない問題です。
今回の記事では、オンライン広告の仕組みやマルバタイジングの手口、そして広告が危険な理由について、実例を挙げながら解説します。そして最後に、こうした脅威に対して組織や一般の人々が活用できる対策についてご説明します。
オンライン広告入門
オンライン広告は巨大なビジネスです。米国における 2018 年のデジタル広告収入は 1,000 億ドルを超えています。これは大手の航空宇宙企業や多国籍銀行の年間売上と同じ規模です。複雑なデジタル広告業界はどのように機能し、ユーザに広告を提供しているのでしょうか。オンライン広告にはさまざまな種類があり、収益化の方法も多様です。一般的に知られている広告は、スポンサード コンテンツ広告とバナー広告に分類されます。バナー広告は Web ページのコンテンツから多少独立しているため、大半のユーザに馴染みがあるでしょう。一方でスポンサード コンテンツは、ページ内のオリジナル コンテンツに混じって表示されます。通常は「スポンサード コンテンツ」などの表記があり、ユーザがリンクをクリックするとアド ネットワークを通じて他のサイトに誘導されます。いずれのカテゴリも無数のタイプに細分できますが、今回は、最も悪用されやすいリアルタイム ビッディング(RTB)というオンライン広告に焦点を当てます。
まず、RTB アド ネットワークを構成する要素について説明します。
最初の要素は、自社サイト上で広告を掲載して広告料金を受け取るサイト運営者です。広告を掲載するために、サイト運営者はアド サーバを利用します。アド サーバは、自己ホスト型やサービス ソリューションなどの複数のタイプから選択できます。自己ホスト型アド サーバには、オープンソース ソリューションと有料のソリューションがあります。RTB の別の重要な要素はオープンなアド エクスチェンジです。「アド エクスチェンジ」とは、サイト運営者が広告枠をオークション用に掲載できる、一般公開されたデジタル マーケットプレイスです。そして最後の要素は広告主です。広告主には、マーケティング会社、個人、またはその他のアド ネットワークなどが含まれます。広告主は、これから表示されるコンテンツ内で利用可能な広告枠に、リアルタイムで入札します。では、この広告の仕組みについて詳しく説明します。
ユーザが Web ページを要求すると、HTTP 要求がサイト運営者に送信され、入札が開始されます。サイト運営者は、統合コードまたはアド サーバを活用することで、アド エクスチェンジを介して広告枠をオークション用に掲載します。サイト運営者は、HTTP 要求/応答の一部として、統計情報、URL、場所、ブラウザの種類、ウィンドウのサイズといった、要求元ユーザに関する追加情報を収集できます。この情報がすべてアド エクスチェンジに渡され、広告主による入札が開始されます。先の追加情報はサイト運営者によって広告主に提供されます。広告主はこの情報を基に広告のターゲットをさらに絞り込み、見込みの高いユーザにのみ表示します。次に落札者が選択され、落札した広告主がアド エクスチェンジに広告を提供します。その後、アド エクスチェンジによって広告がサイト運営者に送信され、ページ内に広告が表示されます。これらすべてがミリ秒単位で行われるため、悪用の余地があるのです。
収益化
サイト運営者は、いくつかの方法で支払を受けられます。最も一般的なのがインプレッション単価(PPI)です。これは基本的に、ページ上に広告が表示されるたびに料金を受け取れる方式です。ユーザがページ上で操作しなくても料金が発生します。広告主は 1,000 インプレッションごとに料金(CPM)を支払います。次はペイパークリック(PPC)です。PPC では、ユーザが広告をクリックするたびにサイト運営者が支払を受けます。ただし、ユーザによる操作(クリック)を必要とする性質上、一般に PPI よりも料金が高く、収益が発生する頻度(可能性)は低くなります。最後は、発注単位の支払(PPO)です。収益が最も高いのは PPO ですが、支払を受けるにはユーザによる一定量の操作が必要です。こうした操作には、ソフトウェアのインストール、メーリング リストへの登録、フォームの記入、広告主への発注などが挙げられます。PPO は、ユーザが広告をクリックするだけでなく、その後にアクションを完了する必要もあるため、最も難しい収益化手段でもあります。
追跡
次に追跡についてご説明しましょう。広告主とマーケティング会社はオンライン広告に巨額を費やしているため、どの方式が最適かを把握する必要があります。そのための手段が追跡です。トラフィックがどのように発生し、移動しているかについて、追跡により興味深い情報を把握できます。こうした追跡情報の一部は、ユーザがアクセスした URL を介して渡されます。以下は、URL に追加された情報の例です。
utm_term=2310109&s=1&utm_campaign=pps_News%20Anchors%20T3%20DS%20LLE%20- %20Desktop%20USA&utm_source=taboola&utm_medium=news_site&pps_term=She%20Was%20Live%20 Reporting%2C%20And%20Viewers%20Got%20Way%20More%20Than%20What%20They%20Bargained%20For &utm_content=msn-ie11-us
ここでは説明のため、書式形式を多少変更してあります。utm で始まる要素は、マーケティングに関連付けられたタグです。UTM(Urchin Tracking Module)とは、デジタル広告のマーケティング要素を追跡する標準的な手法です。このように、URL には豊富な情報が含まれています。最初の 2 つのフィールドは、キャンペーン追跡目的の文字列や、他の識別数値です。より興味深いのが utm_medium フィールドです。これはトラフィックの発生元(この場合は news_site)を示しています。Fox ニュースのページでクリックされた可能性を示す単語も確認できます。これらのリンクは、従来のバナー広告またはスポンサード コンテンツのどちらにもなり得ます。いずれも大半の Web サイトで目にするものです。最後が最も注目に値するフィールドです。これは攻撃者が必要とする情報でもあります。utm_content 変数に含まれている重要なビット情報「ie11-us」は、リンクにアクセスしたシステムの所在地と Web ブラウザを識別します。この情報により攻撃者は、特定の Web ブラウザや所在地のユーザをランディング ページ上でターゲットにできます。そこで生まれたのがマルバタイジングなのです。
マルバタイジング
マルバタイジングとは、攻撃者が、不正な利益を得るためにオンライン広告市場を悪用する手法を指します。このプロセスは上記の説明とほぼ同じですが、正当な広告主の中に、一握りの攻撃者、「ドメイナー」、そしてトラフィック ディレクタ(TDS)が紛れています。これらの攻撃者は、宛先がどこであれ、その宛先向けのトラフィックを生成することに長けています。その途中で複数の難読化手口を活用し、最終的に悪意のあるコンテンツを配信します。実際の手口では、アド エクスチェンジで広告を落札した後に、複数のリダイレクト手段を使用して悪意のあるコンテンツへ誘導します。悪意のあるコンテンツは、不正な Flash プレーヤー、テクニカル サポート詐欺から、被害者の介入なしでシステムを侵害するエクスプロイト キットまで、多岐にわたります。
頻繁に確認されているのは、エクスプロイト キットのランディング ページに誘導されたユーザです。これらのページを分析することで、攻撃者による難読化手口を明るみに出すことができます。
上の画像はトラフィック ディレクタ システム(TDS)で、HTTP/1.1 302 要求を使用する一般的なリダイレクト手段です。この手段は「302 Cushioning」と呼ばれ、攻撃者によって長年使用されていますが、インターネット上の大半の Web サイトでも一般的に使用されている、効果的なリダイレクト方法です。
上の図は、最終的なリダイレクト先、つまりエクスプロイト キット(このケースではエクスプロイト キット「RIG」)のランディング ページを示しています。アド ネットワークが直面している最初の大きな課題は、このような広告の検証です。302 リダイレクトを幾十にも繰り返す広告の真の目的について、どうすればアド ネットワークが確認できるでしょうか。302 リダイレクトを攻撃者が操作すれば、エクスプロイト キットを広告の影に完全に隠すことができます。たとえば、最終リダイレクト先に正当な広告を指定しつつ、リダイレクト先を攻撃者が操作して悪意のあるページに差し替える場合、防御はますます困難になります。
リダイレクトは、HTTP 301、302、応答ヘッダーの場合のようにサーバ側から行うことも、JavaScript や HTML エレメントなどによりクライアント側で発生させることもできます。また、攻撃者にとって有利に働く特定のリダイレクト方法も存在します。たとえば、JavaScript の location.replace 関数を使用してブラウザを別のサイトにリダイレクトすれば、ブラウザ履歴にはリダイレクトの証拠が残りません。これは痕跡を隠すために有益な手法です。
この感染チェーンは流れが複雑で、大量のコンポーネントが使用されます。つまり攻撃者にとって、トラフィックを正当なサイトから不正サイトに誘導するチャンスが多くあると言えます。以下の図は、全体的なプロセスとフローを示すインフォグラフィックです。
ユース ケース 1:大規模なエクスプロイト キット キャンペーン
ここ数週間、「RIG」のアクティビティが世界中で著しく増加していますが、その主な理由がマルバタイジングです。実際の攻撃について深く掘り下げる前に、マルバタイジングがエクスプロイト キットを使う攻撃者にとって魅力的な手段である理由を考えてみましょう。
エクスプロイト キットを配布する手段には、3 つの経路(マルバタイジング、侵害された Web サイト、アドウェア)が観察されてきました。まず、マルバタイジングを見てみましょう。マルバタイジングの主な利点のひとつは、狙える標的の数の多さです。侵害した Web サイトをエクスプロイト手段にして狙えるのは、その Web サイトにアクセスした人々に限られます。一方のマルバタイジングでは、はるかに広範囲で大規模のユーザを標的にできます。さらに、上記で説明したように、特定の Web ブラウザを標的にすることで侵害の成功率を大幅に高めることができます。一般的な広告サービスでは、以下のような一連のオプションが広告主に提示されます。
攻撃者にとってマルバタイジングの別の利点は追跡の難しさです。侵害した Web サイトから攻撃者がエクスプロイト キットを配布する目的は「単一障害点」となるサイトの形成にあります。防御側や研究者は、悪意のあるサーバを発見し、侵害された Web サイトをブロックできます。侵害された被害者の支援により、キャンペーンを実質的に阻止することもできます。しかしマルバタイジング攻撃の場合、関連する Web ページと無関係な Web ページが入り乱れるため、侵入経路が無数存在することになり、攻撃の調査や阻止が困難になります。他にも、広告を提供する際に複数のアド ネットワークを通過するという特徴もあります。悪意のある広告を特定の広告主まで遡って追跡することは困難です。リアルタイムの入札制度によって広告の配信先が予測不可能になり、感染チェーンの再構築が極めて困難になったからです。
同時に、悪意のある広告を配信するアドウェアも急増中です。今日の世界では、広告収入を生み出す媒体であれば何でも攻撃者に悪用される可能性があります。ここでは例として、現在も続くキャンペーンの調査中に Threat Grid
で発見した感染パスを取り上げます。
ソフトウェア開発者が抱える課題のひとつは、ソフトウェアの収益化方法です。収益化方法を大きく分けると、販売、バンドル、オープン ソース化の 3 種類になります。販売とオープン ソース化は想像に難くないでしょう。前者は販売で、後者はオープンソース コミュニティからの寄付などにより収益を得ます。ここではバンドル、つまりインストール パッケージに他のソフトウェアを同梱する方法に焦点を当てます。
一般的な脅威の一種であるワームは、これまでに Conficker、Slammer や Code Red、最近では WannaCry などが登場し、世間を大きく騒がせてきました。封じ込めが困難なため、ワームは迅速かつ効果的に拡散します。ワームなどの脅威は、拡散の広さと修復の困難さのため、多くの対策ソリューションが存在しています。Web で検索しただけでも、正当で高額な製品から、疑わしいフリー ソフトまで幅広く見つかります。それらの中には、次に説明する USB Gurdian などのサイトへ誘導するマルウェアも紛れています。
USB Guardian はホームページ(上の画像)で、USB デバイスをスキャンする「ワーム対策ソフトウェア」であると主張しています。ソフトウェアをインストールしようとすると、次の画面が表示されます。
ここで、ソフトウェア(このケースでは BestSecurityTips ツールバー)がバンドルされていることに気付きます。このツールバーが USB Guardian と同時にインストールされると、悪意のあるアクティビティの発生源になります。ツールバーのエンド ユーザ ライセンス契約をクリックすると、真っ白な Web ページが表示されます。これは危険信号です。
下の画像が Best Security Tips ツールバーです。ツールバーを分析したところ、Conduit ツールバーとの関連性が確認されました。Best Security Tips ツールバーがインストールされると、ブラウザのホームページとデフォルトの検索エンジンを変更します。つまり攻撃者が検索結果などを操作し、クリック詐欺や誇大広告を表示できるのです。これはマルウェアの感染といった、より大きな被害につながる可能性があります。またアド ネットワーク側にとっては、ブラウザのホームページやデフォルトの検索エンジンを変更することで、より効果的に広告を配信できることになります。次に、Best Security Tips ツールバーが広告を要求する方法について分析します。
ツールバーは、インストール直後から一連の Web 要求を送信します。最初の要求は「daily ads」と呼ばれるアド ネットワークに対するものですが、最終的にはエクスプロイト キットのランディングページに行き着きます。
上記の要求は、末尾が「indexbst.php?idapp=198」の URL に向けられています。しかしその裏側では、複数回のリダイレクトが発生していました。
リダイレクトは daily ads の /version/version.php への要求で始まり、他の dailyads サーバを参照する多数の HTTP/1.1 302 要求へと続きます。最終的には、以下に示すように、GET リクエストが ww7.dailyads[.]org に送信されます。
上記のパケット キャプチャから取得すべき重要情報は、ヘッダー部の「X-Adblock-Key」です。ここには、dailyads が人気の高い広告ブロッカー「Adblock」をバイパスするための API キーが含まれています。多くの場合、悪意のある広告の表示を阻止する唯一の障害がこの広告ブロッカーです。バイパス用 API キーの存在は、この特定の広告ブロッカーが無効化されていることを意味しています。最終的には、先述した末尾が「indexbst.php?idapp=198」の URL が要求されます。この時点で初めて、悪意のあるパスへのリダイレクトが開始されます。
上図の要求は別の 302 Cushioning で、mybetterdl[.]com でホストされていると見られる広告へリダイレクトしています。この要求は、別のサブドメイン(mybetterdl[.]com.Hosting 91Hosting 91)に向けたさらに別の 302 Cushioning によりリダイレクトされます。
ここで、また別の 302 Cushioning が発生し、別のドメイン(bitcoinmaker [.]site)でホストされている広告へリダイレクトします。広告へのリダイレクトはこれが最後ですが、さらに別の 302 Cushioning により、実際のエクスプロイト キットのランディング ページ(このケースでは RIG)にリダイレクトされます。
一連の 302 Cushioning を経て表示されたランディング ページでは、修正プログラムが配布済みの Adobe Flash または Internet Explorer の脆弱性がエクスプロイトされ、悪意のあるペイロードに感染する危険性があります。
範囲と影響
上記の例は、特定のソフトウェアのインストールによって、どのようにマルバタイズメントの影響を受けるかを説明したものです。ただし、これらの感染のほとんどは、ウイルス対策ソフトウェアやアドウェアとの直接的な因果関係があるわけではありません。実際の感染経路は悪意のある広告です。
これらの広告は、ニュースからデザイン、音楽、自動車レース、大衆文化に至るまで、さまざまな業界の幅広いサイトに影響を与えています。Talos が確認した限り、Alexa ランキングの上位 5,000 に含まれるサイトも例外ではありません。さらに、上位 100 に含まれるサイトが今回のマルバタイジング キャンペーンに間接的に関連していることを示す証拠も発見しました。マルバタイジングの多くは、ランキング上位の Web ページに表示されるスポンサード コンテンツとして始まり、他のランキング下位の Web ページにリンクしていきます。記事の前半で説明した utm タグは、まさにその代表的な例です。
Talos が観察したケースの一例では、最大手ニュース サイトを含む、Alexa ランキング上位 50 のサイトに最初にユーザが訪れます。次に、意図的に(または意図せずに)何らかのスポンサード コンテンツをクリックします。するとユーザは新しいサイトに誘導されますが、移動先は、Alexa ランキング上位 50 のサイトなどではなく、上位 10,000 レベルのサイトになります。これらのサイトには、302 Cushioning を複数回通過する上述のような広告が表示されます。
ユース ケース 2:ユーザの意表を突いて悪意のあるコンテンツを拡散
Talos は 2019 年 6 月に、悪意のある Flash Player インストーラを配信するドメインに Safari ブラウザをリダイレクトする Web サイトを発見しました。上述したエクスプロイト キットとは対照的に、このマルバタイジングの手口はいくらか再現可能であるため、追加情報を抽出することができました。
今回の例では、攻撃者が「ドメイン パーキング」と呼ばれる一般的なサービスを利用して攻撃を実行しています。ドメイン パーキングのサービスは、広告のクリックで PPC 収益が発生するまで静観して待つのではなく、通常ならエラーを返す無害なトラフィックを自社のアド ネットワークにリダイレクトします。実質的には広告サイト運営者と同じ働きをします。
ドメイン パーキングを利用したマルバタイジングの利点は、ユース ケース 1 と同様です。つまり、使いやすさ、ターゲティングのし易さ、見込まれるトラフィックの多さにあります。トラフィック マーケットプレイスでは「ゼロ クリック」トラフィックが販売されています。これによりドメインの所有者がトラフィックを購入し、所有するドメインにダイレクトできます。パーキング サービスを使用すれば、ユース ケース 1 と同様に、入札するドメインのカテゴリ、ユーザのターゲット ブラウザ、OS、所在地、場合によってはユーザの年齢や属性まで指定できます。
今回の例を調査した時点では、最初のドメインがリトアニアのクラウド プロバイダーのパーキング サービスでホストされていました。Cisco Threat Grid では、脅威スコアが 95 以上のマルウェア サンプルが、約 700 件も同じ IP に関連付けられています。DNS の履歴データを分析すると、同じ IP がこれまでに何百ものドメインをホストしてきたことがわかります。1 週間のスパンでは、87 件のドメインがこの IP にリダイレクトしていました。次のように明らかなタイポスクワッティングも含まれています。
- 0utlook[.]com
- yotub[.]com
- gmyail[.]com
- yspace[.]com
- yyooutube[.]com
Talos が観察した Safari ユーザの多くは、サーバ側の要求回数制限を回避しながら一連のサイトを通じてリダイレクトされ、最終的に偽の Flash Player のインストール ページにたどり着いています。一方で Safari 以外のブラウザは、デフォルトのドメイン パーキング ページ(sedo.com)にリダイレクトされます。sedo.com は 1,600 万を超えるドメインを販売する、老舗のドメイン パーキング プロバイダーです。
マルウェアを配信した一連の要求では、以下の表に示すように、複数の異なるリダイレクト手段が使用されていました。
一連のリダイレクトでは、多くのドメインに複数回アクセスしていますが、クエリ パスは毎回異なっています。これは、オンライン広告の追跡がいかに困難かつ複雑であり、攻撃者にとっては侵害が簡単であるかを示しています。
シーケンスで最初のサイトに HTTP GET リクエストを出すと、クライアント側の JavaScript はホストを 2 つの後続サイト(サイト 2 とサイト 3)にリダイレクトします。サイト 2 は、ユーザ ID を含むトラッキング Cookie を作成し、接続を閉じます。サイト 3 は、次の図の HTTP 応答ヘッダーを使用してサイト 4 にリダイレクトします。
{"Cache-Control": "max-age=0, private, must-revalidate", "Content-Length": "11",
"Date": "Wed, 03 Jul 2019 17:27:44 GMT", "Location": "http://usd.franciscus-
ful[.]com/zcvisitor/de20fa7f-9db7-11e9-9522-1264782e7ac8?campaignid=77a8d2a0-8209-
11e9-bf85-0a5f8f5656fe", "Server": "nginx", "X-Cache": "MISS from bc01", "Via": "1.1
bc01 (squid/3.5.27)", "Connection": "close"}
ここでは、サイト 4 への全要求に対する応答ヘッダーを介して、「ゼロ クリック」トラフィックにおけるドメインの役割の手がかりを確認できます。
Server": "ZeroPark-Traffic"
”
サイト 4 のコードには、HTML リダイレクトと JavaScript リダイレクトの両機能が含まれていて、さらに別の 2 つのサイトにリダイレクトします。Talos のテスト環境でもサイト 5 への JavaScript リダイレクトが確認されました。ただしその際に、ページの幅や高さなどのブラウザに関する情報や、ブラウザ内における現在のページの順位などの情報が収集されています。
S
<script type="text/javascript">
setTimeout(function () {
var pageWidth = window.innerWidth ? window.innerWidth : (document.documentElement &&
document.documentElement.clientWidth ? document.documentElement.clientWidth :
document.getElementsByTagName('body')[0].clientWidth);
var pageHeight = window.innerHeight ? window.innerHeight : (document.documentElement
&& document.documentElement.clientHeight ? document.documentElement.clientHeight :
var iframeDetected = window.self !== window.top;
window.location="http://usd.franciscus-ful[.]com/zcredirect?visitid=de20fa7f-9db7-
11e9-9522-1264782e7ac8&type=js&browserWidth=" + pageWidth +"&browserHeight=" +
pageHeight +"&iframeDetected=" + iframeDetected;
}, 1);
</script>
”
サイト 5 からサイト 6 への JavaScript リダイレクトでは、即座にさらに 2 つの HTTP リダイレクトを通じてリダイレクトされ、最終的に偽の Flash Player のインストール ページに行き着きます。
上の画像にある 3 個のボタンはいずれも、現在のドメイン上の同一パスにリダイレクトします。クリックすると悪意のある .dmg インストーラがダウンロードされます。このインストーラは、「Shlayer」と呼ばれる有名なマルウェアを使用してシステムに感染します。
悪意のある広告に対する防御
悪意のある広告に対する防御は、さまざまな理由で困難です。オンライン広告のおかげで多くのインターネット コンテンツが無料で提供されていますが、広告をブロックしつつ、サイトが収益を生成できるようなバランスが必要です。最近になって、この分野で大きな変化が起きています。その代表的な例が、広告ブロッカーをオフにしない限りコンテンツが表示されない Web サイトです。広告ブロッカーが収益に痛手となることは理解できますが、リスクを招くことも事実です。たとえば Talos が確認したケースでは、世界的に人気の Web サイトに表示されるスポンサード リンクからすでに感染パスが始まっていました。人気のある広告ブロッカーについては、バイパスするために一部の大手広告主が料金を支払っていると複数の報告書が指摘しています。今回の記事で調査した 2 件のユース ケースでは、広告ブロッカーをバイパスするために広告主が料金を支払っていたため、広告ブロッカーは該当広告を阻止できませんでした。
ここで大切なのは、さまざまな緩和策を考慮しつつ、リスクを評価することです。ユーザの自由度を高めれば、悪意のある広告に対するリスクが最も高まります。逆に、悪意のある広告への対策を強めればリスクは軽減されますが、ユーザの自由度が制限されます。対策のひとつは、Web ブラウザに広告ブロッカーを追加することです。これにより、ユーザへの影響を最小限に抑えてリスクを軽減できます。ただし広告ブロッカーという最低限の対策であっても、一定のリスク(一部のサイトが利用できなくなる)を抱えています。また、潜在的なマルバタイジング サイトをユーザがホワイトリストに登録したり、広告主が広告ブロッカーをバイパスさせたりするリスクもあります。次に実施できる対策は、Web プロキシや IDS/IPS といったトラフィック分析技術の導入です。こうした対策でもセキュリティが向上し、リスクは軽減されます。ただしコストが大幅に増加し、障害ポイントが増える可能性があります。そして最終的な選択肢は、すべての広告ネットワークをブロックするといったアグレッシブな対策になります。こうした対策を講じるとリスクを最大限に低減できますが、ユーザに対する影響は最も大きくなります。
ドメイン レベルまたはネームサーバ レベルで広告ネットワークをブロックする方法は数多く存在しますが、そのためには、Cisco Umbrella のような DNS 製品が必要です。Umbrella などの製品を利用する別の利点は、ゲートおよび TDS ドメインをブロックできることです。追加の保護レイヤを導入できるため、広告すべてを一方的にブロックすることなく、既知の不正ドメインからのコンテンツのみをブロックできます。以下の表に、各対策と(バランスを考慮すべき)リスクおよびユーザへの影響を示しています。
コンシューマ向けには、自宅で手軽に導入してリスクを軽減できるオープンソース ソリューションといった、幅広い選択肢があります。たとえば、Rasberry Pi を使用して広告から保護する Pi-hole プロジェクトなどもあります。シスコでは、Umbrella の保護機能を活用できるコンシューマ向けの製品やサービスも複数提供しています。
デジタル広告は、ドライブバイ ダウンロード攻撃が最も多く発生している「戦場」のひとつです。企業もコンシューマも共に備えを万全にし、広告をどの程度アグレッシブにブロックするのかを決定する必要があります。ただし広告をブロックすれば、大量の無料コンテンツが消えてしまうリスクが伴います。コンテンツから収益を生み出すことがますます困難になっているからです。デジタル広告に関する問題は、今後数年間で対処せざるを得ない大きな課題のごく一部です。効果的に対処するには、対策を早くから練ることが欠かせません。
カバレッジ
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。以下のスクリーンショットは、AMP がこの脅威からお客様を保護する様子を示しています。こちらから AMP を無料でお試しいただけます。
Cisco クラウド Web セキュリティ(CWS)または Web セキュリティ アプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、これらの攻撃で使用されるマルウェアを検出します。
次世代ファイアウォール(NGFW)、次世代侵入防止システム(NGIPS)、およびMeraki MX などのネットワーク セキュリティ アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を埋め込みます。
シスコのセキュア インターネット ゲートウェイ(SIG)である Umbrella は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
特定の環境および脅威データに対する追加の保護は、Firepower Management Center から入手できます。
オープン ソースの SNORT サブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
侵害の兆候(IOC)
ユース ケース 1:RIG エクスプロイト キット キャンペーン
IP アドレス:
185 [.]246 [.]65 [.]115
185 [.]246 [.]65 [.]118
185 [.]246 [.]65 [.]119
176 [.]57 [.]217 [.]135
92 [.]53 [.]124 [.]156
185 [.]246 [.]64 [.]222
185 [.]246 [.]64 [.]233
185 [.]246 [.]64 [.]236
176 [.]57 [.]214 [.]193
176 [.]57 [.]217 [.]89
185 [.]43 [.]4 [.]106
185 [.]246 [.]64 [.]155
92 [.]53 [.]124 [.]176
82 [.]146 [.]49 [.]141
188 [.]225 [.]25 [.]248
92 [.]53 [.]124 [.]167
185 [.]43 [.]4 [.]66
188 [.]225 [.]35 [.]239
188 [.]225 [.]18 [.]213
188 [.]225 [.]34 [.]73
188 [.]225 [.]34 [.]66
37 [.]230 [.]117 [.]169
37 [.]230 [.]117 [.]43
37 [.]230 [.]117 [.]77
37 [.]230 [.]117 [.]87
188 [.]225 [.]35 [.]55
188 [.]225 [.]24 [.]229
185 [.]246 [.]64 [.]144
185 [.]246 [.]64 [.]148
185 [.]246 [.]64 [.]157
188 [.]225 [.]25 [.]246
176 [.]57 [.]217 [.]134
185 [.]43 [.]7 [.]162
94 [.]250 [.]253 [.]147
94 [.]250 [.]253 [.]29
188 [.]225 [.]33 [.]219
185 [.]43 [.]6 [.]90
185 [.]43 [.]6 [.]106
188 [.]225 [.]26 [.]80
176 [.]57 [.]220 [.]7
176 [.]57 [.]220 [.]28
37 [.]46 [.]135 [.]254
ユース ケース 2:Shoot2020 キャンペーン
ドメイン:
shoot2020[.]com
axiomatic[.]world
charmolivia[.]com
sleepdiploma[.]pw
usd[.]franciscus-ful[.]com
cdn[.]formatlog[.]com
cdn[.]detectioncache[.]com
cdn[.]browsedisplay[.]com
cdn[.]essentialarchive[.]com
cdn[.]alphaelemnt[.]com
cdn[.]megaelemnt[.]com
cdn[.]originaloption[.]com
cdn[.]entrydisplay[.]com
cdn[.]initiatormaster[.]com
本稿は 2019年7月31日に Talos Group
Authors