不正広告を通じた攻撃が発生、約3000の国内サイト、約50万人に影響〜トレンドマイクロ報告

　トレンドマイクロ株式会社は、9月に日本のユーザーを対象とした「malvertisement（不正広告）」攻撃を確認したとして、公式ブログで報告した。この攻撃では、不正な広告と脆弱性を悪用するエクスプロイトキットを併用することで、広告が表示されたサイトを訪問したユーザーに効果的に攻撃を実行したという。

　トレンドマイクロの観測によると、不正広告はおよそ3000の正規サイトで表示された。それらのサイトには約50万人のユーザーが訪問し、ユーザーは脆弱性攻撃ツールである「Angler Exploit Kit（Angler EK）」を利用した攻撃サイトへ誘導されている。

　確認された不正広告はすべて日本語の広告で、攻撃は特に日本のユーザーを狙って実行されたものだと指摘。不正広告が表示された正規サイトとしては、日本のISPにホストされた人気の高い日本語のニュースサイトやブログなどがあるという。また、これらの不正広告は、日本の地方の観光協会やオンラインショップの広告で使用されたバナーを、不正広告の画像として利用することで、正規の広告と区別できないようにしていた。

　不正広告は、ほぼ3000の国内正規サイト上で表示されており、9月7日、9月13日、9月23日の3つの攻撃のピークを確認。最大時には1日あたり約10万人のユーザーが不正広告を目にしたことになるという。

　攻撃では、2015年7月に修正された Internet Explorer（IE）の脆弱性「CVE-2015-2419」、2015年8月に修正されたFlash Playerの脆弱性「CVE-2015-5560」が利用された。これらの修正が行われていない古いソフトを使用しているユーザーが、攻撃サイトにアクセスすると、ドライブバイダウンロード攻撃により自動的に不正プログラムが実行される危険性がある。

　この攻撃によって侵入する不正プログラムは、「Angler EK」がこれまでに利用したものと一致しており、情報窃取型不正プログラム「TSPY_ROVNIX.YPOB」が感染PCから確認されている。

　攻撃では、「ads.js」と名付けられたJavaScriptのファイルが利用され、さまざまな不正活動を実行した。このファイルは、日本国内と国外では送信される内容が異なっており、日本国外のPCにも侵入するが不正活動は実行しない。

　コード自体は、ユーザーを攻撃者の「トラフィック検出システム（Traffic Detection System、TDS）」に誘導するために利用される。コードは、プロキシーサーバーを経由していると判断した際には実行を中止する。また、KasperskyやMalwarebytesのセキュリティ対策製品の有無を確認し、確認された場合にも実行を中止する。

　トレンドマイクロでは、今回の攻撃では不正広告を利用した攻撃が適切に実行された場合、それを検出するのがいかに困難であるかを示していると指摘。広告自体は、どのユーザーからも正規の広告のようにしか見えず、攻撃対象を特定の地域に限定したことで、その地域以外のセキュリティリサーチャーが攻撃に気付きにくくなったとしている。

　また、こうした攻撃への対策としては、PC上のすべてのソフトウェアを最新のバージョンにしておくことが最善だとして、頻繁に攻撃の対象にされるIEやFlash Playerは、最も安全な最新のバージョンに更新しておくことが特に重要だとしている。