コラム

スマートフォン・サイバー攻撃対策ガイド「マルバタイジング:広告ネットワークを悪用した攻撃」

JSSEC技術部会 スマートフォン・サイバー攻撃対策ガイド
第3回 マルバタイジング:広告ネットワークを悪用した攻撃
JSSEC技術部会マルウェア対策WG
仲上 竜太(株式会社ラック)

 スマートフォンを利用する上で欠かせないのが、様々なスマートフォンアプリケーション(スマホアプリ)です。ゲームアプリや動画サービスなどのエンターテインメントやSNSなどのコミュニケーションサービスをはじめ、金融機関のオンラインサービスや、バーコードを利用した電子マネー決済、飲食店でのクーポンサービスなど、生活の利便性を高める機能がスマートフォン上で実現されています。
 このようなスマホアプリの動作にはスマートフォンの持つ様々な機能や保存されている情報が活用されています。昨今問題となっているのが、これらの情報や機能を悪用し、利用者のスマホを遠隔操作して情報を盗み見たり、第三者への攻撃に悪用したりする不正アプリです。
 このような不正アプリがウェブ広告や広告モジュールを経由してインストールされるケースが確認されています。

攻撃の概要
 不正アプリには、ユーザの行動やスマホの中の個人情報を盗み出すスパイウェアや、広告を勝手に表示したりクリックしたりするアドウェア、スマートフォン内のデータを勝手に暗号化してデータを人質として身代金を要求するもの、スマホをbot化し第三者への攻撃の踏み台に利用するものなどが存在します。
 これらの不正アプリは、様々な手段で利用者のスマホ端末へのインストールを試みます。
代表的な例では、Google PlayやApple Storeなどの公式アプリケーションストアで人気のアプリを騙るものや、SMSで有名サービスからの通知メッセージを騙り、偽のウェブサイト経由でインストールされるものなどがあります。

中でもマルバタイジングと呼ばれる広告ネットワークを利用した攻撃では、信頼のおける正規のサイトや正規アプリに表示された広告スペースを悪用し、不正なアプリケーションの配布アドレスやアプリケーションそのものリンクを埋め込んだコンテンツが表示されます。
広告内容に興味を持った利用者がクリックすると、攻撃者が作成したサイトに誘導され、不正アプリがインストールされるなどの被害に繋がる恐れがあります。

Fig

      図1.正規サイトに表示された不正広告から、不正アプリに誘導される例

図1では、正規の情報サイトに掲載された記事を閲覧中に、表示された広告に興味をもってクリックしたところ、不正アプリのインストールを促す攻撃者の作成した偽サイトに誘導される様子を示しています。
この例では、アプリの要求する権限から、位置情報、個人情報、ストレージといった利用者のスマホの情報を読み取り、ネットワークで送信して個人の情報を不正に窃取する可能性が考えられます。
他にもゲームや音楽サービスなどに表示されるアプリ広告から不正アプリに誘導されるケースも存在します。

このような攻撃は、悪意のある広告を意味するマルバタイジング(Malvetising)と呼ばれており、従来はパソコンのブラウザが主なターゲットでしたが、近年ではスマートフォン(特にAndroidスマートフォン)を狙ったものも多数確認されています。

技術解説
マルバタイジングがフィッシングやメールスパムと異なる点は、利用者が閲覧している正規サイトの広告スペースを悪用している点にあります。
利用者が閲覧しているサイトは、信頼がおける運営者の運営するサイトで、かつセキュリティが確保されたサイトであるにもかかわらず、マルバタイジングでは広告ネットワーク経由で配信された悪意のある広告が、正規コンテンツを閲覧している利用者に表示されます。
 一般的にウェブサイトでは、サイトの用意した広告スペースに広告配信ネットワークを通じて配信された広告が表示されています。

Fig

      図2.通常のウェブ広告配信の仕組み

正規のウェブサイト上に用意された広告枠(広告スペース)には、そのサイトの利用者の属性(年齢・性別・地域など)や過去の閲覧サイトの情報、購買傾向から、現在閲覧中のサイト利用者に適した広告のうち最も入札価格の高い広告が瞬時に選ばれて表示されます。(図2)

 マルバタイジングでは、配信される正規の広告コンテンツに悪意のある広告コンテンツを入稿または正規の広告コンテンツを改ざんする形で攻撃者の用意したサイトに誘導する広告を広告配信ネットワークに登録します。

Fig

      図3.攻撃者が作成(または改ざん)した広告が配信されるケース

公告配信ネットワークに登録された悪意のある広告は、サイトが表示された際に広告表示リクエストが行われ、画面上に広告として表示されます。
 サイトを見ている利用者からは、自分が閲覧している信頼されているサイトに表示された広告のため、安心してクリックする可能性があります。
 多くの広告配信ネットワークでは、入稿された広告の品質管理や審査を厳しく行っています。それでも管理の手薄な広告配信ネットワークや、悪用される脆弱性があり広告の改ざんを許してしまう場合など、悪意のある広告が配信される場合があります。

対策
マルバタイジングの対策には、スマートフォン利用者の観点とサイト運営者の観点があります。

・スマートフォン利用者の観点での対策

 通常スマートフォンでのウェブ閲覧時は、接続先のサイトアドレスなどが確認できないため、広告の接続先URLが改ざんされていた場合に、クリック前に気が付くことはできません。接続先ウェブサイトで不審な挙動が発生した場合、特にアプリケーションのインストールを促す画面が出た場合は充分に注意してください。
 ウェブサイトからスマホアプリのインストールが必要な場合はGoogle Playなどの公式アプリ配信サイトに誘導する場合が一般的です。ウェブサイトから直接スマホアプリのダウンロードやインストール画面が表示された場合は、インストールのキャンセルを推奨します。
 さらに、通常のブラウジング時には各Android端末で設定可能な「提供元不明のアプリケーションをインストールする」をオフにしておくことも、攻撃者の配布する不正アプリをインストールしない有効な対策です。
 他にも、ウェブブラウザやOSを常に最新の状態にアップデートする、ウェブフィルタリングソフトを使用する、マルウェア対策ソフトを使用するなど、スマートフォンそのもののセキュリティを強化する対策も有効です。

 サイト運営者の観点では、信頼できる広告配信ネットワークの採用を推奨します。
 広告配信ネットワークは様々な配信業者が存在するものの、メンテンナンスが適切に行われていない配信業者を選定した場合、改ざんされた広告や悪意のある広告が配信される恐れがあります。公告配信ネットワークを選定する際は、実績のあるサービスの選定により、可能な限り不正な広告の配信を防ぐことを推奨します。

 インターネットの広告の多くは、我々のニーズを理解して最適化されており、新たな商品やサービスへの出会いをもたらす一方、過度なトラッキング(追跡)におけるプライバシーの侵害も課題となっています。
 インターネットの安全な利活用を行う上でサイト上に表示される広告の特性を適切に理解し、安全なネット利用を心がけていただけると幸いです。

JSSEC技術部会スマートフォンマルウェア対策WG『スマートフォン・サイバー攻撃対策ガイド』に戻る