海賊版の漫画を無断で掲載する違法サイト「漫画村」については、その収益化方法として画面に表示される広告(ディスプレイ広告)のほかに、Coinhiveを利用した仮想通貨マイニング、そして閲覧者の見えない部分で広告を表示させる「広告詐欺(アドフラウド)」も含まれていました。
今回漫画村で行われていたのは「隠し広告」とよばれるの広告詐欺の手法の一つで、閲覧者が漫画村のサイトを表示すると、プログラムが「まとめサイト」などを装ったサイトを見えない形で開き、このサイトに掲載されている広告が表示されます。これによってサイト運営者は不正に広告収益を獲得することができます。
この広告詐欺行為のために用意されたサイトの運営者と漫画村の関係についてはおそらく直接的な関係はそれほどなく、その間を取り持っているのは広告代理店とみられます。この詐欺への関与が疑われる少なくとも3つの会社が中心となって漫画村における広告詐欺を主導し、漫画村の運営者とも金銭的なやりとりなど密室な関係にあったのではないかと私は考えています。
—
漫画村での広告詐欺
この2つの会社は、それぞれの会社が関係するまとめサイトを装った不正なサイトが漫画村の隠し広告で表示される際に、パソコン版ではA社のサイト、スマートフォン版ではB社のサイト、というように役割分担がなされていました。このような処理を漫画村が独断で行っているのか、両者間での合意があってのうえでなのかは不明です。
パソコン版ページの不正なサイト
さて、漫画村の裏で実際にどのような仕組みで不正なサイトが表示されていたかを解説していきます。
漫画村での広告詐欺は2017年12月ごろから、漫画村が閉鎖する直前の2018年4月17日まで行われていました。以下は、ウェブの調査サイト urlscan.io で2017年12月29日に取得されたパソコン版ページのHTTPリクエストの一部です。
URL: https://urlscan.io/result/50d8e166-c91f-4f06-b0d7-ba7af435db68/#transactions
画像の最下部で示しているように、このページでは以下のURLのスクリプトが読み込まれていることがわかります。
hxxp://web-analysis[.]click/survey/mangamura.js
このスクリプトの内容は、以下のようにコードが難読化されています。
難読化を解除したものが以下になります。
このスクリプトでは、以下の3つのURLからランダムに一つをフレームで開く処理が行われています。このURLのリストは2017年12月26日から2018年4月5日まで変わっていません。
- hxxp://analysiswebtool[.]com/check01/
- hxxp://analysiswebtool[.]com/check02/
- hxxp://analysiswebtool[.]com/check02/
こちらは3つ目の hxxp://analysiswebtool[.]com/check02/ のアーカイブのソースです。こちらは2018年4月6日に取得されたものですが、2018年3月27日から内容は変わっていません。
![analysiswebtool[.]com のHTTPリクエストの一覧(2018年4月6日)](https://blog.cheena.net/wp-content/uploads/2018/09/analysiswebtool-http-request-details.png)
URL: https://urlscan.io/result/92d19f13-9791-459b-b824-4a08176b30c0/#transactions
画像の最下行を見ると、またも以下のURLのスクリプトが読み込まれていることがわかります。
hxxp://analysiswebtool[.]com/survey/analysiswebtool_check02.js
これも難読化が行われています。
難読化を解除したものが以下になります。
このようにして難読化したJavaScriptからフレームを表示する処理が二重に行われ、ようやくここから不正なサイトが読み込まれるのですが、このコードでは閲覧者のユーザーエージェントをもとにパソコンからのアクセスであると判断された場合のみ、不正なサイトを表示するようになっています。
表示される不正なサイトは以下のとおりです。全期間分のアーカイブを取得できていないため、時期によって analysiswebtool_check02.js の内容が変化している可能性があり、これら以外にもURLが存在する可能性はあります。(*1)
- hxxp://itcore[.]website/
- hxxps://move2[.]co/g/VyvPtBj
- hxxps://move2[.]co/g/g6k5XSV
- hxxps://move2[.]co/g/pTdHxmZ
- hxxp://access-library[.]com/
- hxxps://move2[.]co/g/26TE4te
- hxxps://move2[.]co/g/qXuwCos
- hxxps://move2[.]co/g/g6k5XSV
- hxxps://move2[.]co/g/nTJ0Lnj
- hxxp://access-library[.]com/
上のリストは2つに分けていますが、このうちの1つずつがフレームで読み込まれるようになっています。
残念ながら、これらのURLで不正に広告が表示される証拠をアーカイブなどに残すことができませんでした。しかし、漫画村の管理者が運営する別サイトにおいて同じドメインから同じ手口で不正に広告が表示される証拠はスクリーンショットにして残すことはできました(2018年4月20日に撮影)。
画像の1枚目は、ページの最下部に挿入される不正なまとめサイトのフレームを表示させた状態です。2枚目は、表示されるサイト上で表示されるURLの一覧から広告のドメインを赤線でハイライトしています。
—
スマートフォン版ページの不正なサイト
次に、スマートフォン版のページを見ていきます。以下はパソコン版と同様に urlscan.io で2018年4月6日に取得したHTTPリクエストの一部です。
以下のURLのスクリプト(*1)が読み込まれています。画像はその一部です。
hxxp://js.aaddcount[.]com/other/excellent.js
全文: https://web.archive.org/web/20180418144034/http://js.aaddcount.com/other/excellent.js
上のスクリプトは、閲覧者がスマートフォンからアクセスしている場合にのみさらに次のURLのスクリプトを読み込みます。
hxxp://user.in[.]net/excellent.js
全文: https://web.archive.org/web/20180214031358/http://user.in.net/excellent.js
Android/iPhone/iPadでアクセスされている場合、最後に次のURLを1×1のフレームで読み込みます。
hxxp://user.in[.]net/link/?type=excellent
全文: https://privatebin.net/?e03376fffa97c82d#nHmTxTd7CLqUt3WA5YKj/ULFM+ozwvHY82wq7UcPbc0=
このページは、恐ろしいことに40以上ものまとめサイトをフレームで開き始めます。実際にスマートフォン版の漫画村をパソコンで開いた画像が以下になります。
画像下部で示しているように、この結果、1ページ開いただけで帯域を28.23MBも使用していることがわかります。漫画村の利用者はこれに気づかなかったのでしょうか。
画像にも一部写っていますが、これらのまとめサイトで広告も大量に表示されます。数が大きすぎるため、内容については割愛します。
偽まとめサイトの全ドメインリスト: https://privatebin.net/?3dd9786dea7575a9#9Z6QhC9ReRMTC9y/d7CiUo/MAfeWKQAfhTh/r5wugEk=
—
広告詐欺の首謀者は何者か
長くなりましたが、冒頭で説明したように漫画村で広告詐欺を行っているとされる3社はそれぞれ別の会社と考えています。その結論にたどり着くまでを説明します。
まず、パソコン版ページで使われていたスクリプトのドメイン web-analysis[.]click について調べていきます。このドメインのIPアドレスは 138.201.66.163 で、国はドイツでした。このIPアドレスにはほかにいくつものウェブサイトがホストされていることが urlscan.io, myip.ms などの記録からわかりました。以下がそのリストです。
- tenshokujoho-net[.]com
- katsuranavi[.]com
- tenshokuagent-web[.]com
- iryo-kenko[.]com
- hiroshimadaisuki[.]com
- fukuokadaisuki[.]com
- kokunai-ryoko[.]com
- biyouweb[.]com
このうちの一つのドメインのWHOIS情報を照会したところ、福岡に本社を持つ広告代理店の社名が浮上しました。
同じIPアドレスに複数のサイトがホストされていることはそう珍しいことではありません。いわゆるレンタルサーバーでは1つのサーバーに1つのIPアドレスが付与され、その中に多数の顧客のサイトが「同居」状態になっていることはよくあることです。しかし今回のケースでは、このサーバーで先述の会社が所有でないサイトが見つからないことなどから、 web-analysis[.]click を含めたすべてのドメインの所有者がこの会社であると考えられます。
—
そして、スマートフォン版ページで使われていたドメインで鍵となるのは以下の2つです。
- js.aaddcount[.]com
- user.in[.]net
上の aaddcount[.]com の所有者については、都内のY社であることは既に各所で報じられていることなので割愛します。
続いて下の user.in[.]net についてですが、このドメインのIPアドレスは 27.133.132.71 でした。このIPアドレスをCensysで検索した結果が以下です。
https://censys.io/ipv4/27.133.132.71/table ( https://archive.is/FnqWn )
注目すべきポイントが、このサーバーで使用されているSSL証明書に記載されているコモンネーム(暗号化を行うドメイン)のドメインです。ここには、ある会社が所有するドメインが記されていました。
このドメインのWHOIS情報を照会すると、都内の会社Kの名前が浮上しました。
また、このドメインのIPアドレスも 27.133.132.71 であることから、この会社が何らかの関係がある可能性は高いと考えています。
関係を整理すると、広告詐欺に関わっていた3つ会社とドメインはこのようになります。
- web-analysis[.]click(P社)
- aaddcount[.]com(Y社)
- user.in[.]net(K社)
—
おわりに
本記事では、漫画村でどのように広告詐欺が行われていたかを解説しました。漫画村の終焉とともにすべてのドメインは表示されなくなっていますが、上で挙がった企業は現在も別のドメインで同様の広告詐欺を行っています。
巷では、ブロッキングを含めた海賊版サイトへの対策が話題ですが、彼らのような犯罪組織にとって海賊はシノギの一つでしかなく、オンライン詐欺をも手がけるような連中であるということが本記事でよくおわかりいただけたかと思います。このように巧妙な手口で暗躍する彼らに対し法執行機関がどのようなアクションを行っていくのかも見ものだなと思っています。
あともうちょっと早く書けたのになあと思いました。
最近もまあ特に変わんないです。それでは。
—-
備考
(*1): analysiswebtool_check01.js は2018/1/31 15:07 から 2018/4/18 22:23 まで内容は変わらず。
(*2): 2017/11/29 04:55 から 2018/04/18 23:40 まで内容は変わらず。
27.133.132.71 に関係するもの
https://myip.ms/info/whois/27.133.132.71
- ktai.pw
- matomeru.biz
- news24.pw
不正なのサイト→不正なサイト
でしょうか
エキドナってどんな意味だよ
おちんちんおじさんにはわからないのでだれかおしえて