広告配信サービス NetSeerのマルウェア感染による影響 〜 Malvertisingとは? 〜

昨日(2/5)、GoogleChromeブラウザで米メディアのサイトにアクセスすると、マルウェアに感染する可能性があるとの警告画面が表示され、アクセスがブロックされるという事件がありました。対象のサイトは NYTimes、Huffington Post、Guardian、ZDNet、CNETなど多数に及んだようです。

原因となったのは広告配信サービスの NetSeer。ここの Webサイトの一つが改ざんされてマルウェアに感染し、その結果 Googleは netseer.comドメインをブラックリストに登録しました。NetSeerは広告配信用に cm.netseer.comというドメイン名を利用していたため、NetSeerからの広告配信を受けていた大手メディアのサイトなどが全てブロックされることになってしまったのです。

しかし NetSeerによると、マルウェアに感染したのはホスティング事業者のサイトであり*1、広告配信用のインフラとは全く別。つまり実際には広告が配信されていたサイトにアクセスしてもマルウェアに感染する危険はなかったことになります。同じドメインを使用していたために影響範囲が拡がってしまったわけです。


NetSeer CEOのレターからの引用 (現在はトップページに掲載されています)

Early this morning we received alerts that our 3rd party hosted corporate website (netseer.com) was hacked and infected with malware. Consequently, Google added our domain to the list of malware affected websites and Chrome and some other browsers started blocking any sites that had ‘netseer.com’ code.

Our ad serving infrastructure is completely different from the corporate website but shares the same domain (netseer.com). So although the malware never impacted the ad serving all our ad serving partners saw Chrome and other browsers flagging malware warnings to users. To reiterate, the malware was never served into ad serving stream and the browser behavior was completely due to ad serving and the corporate website sharing the same domain name.


NetSeerはマルウェアに感染したサイトをすぐに復旧させるとともに、Googleに連絡をとりブラックリストからドメインを削除してもらったようですが、元通りになるまでにはさらに数時間を要したようです。


なお Google Safe Browsingの netseer.comに関するデータを確認すると、2/4まではマルウェアに感染する危険があったとされています。

Of the 52 pages we tested on the site over the past 90 days, 7 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 2013-02-05, and the last time suspicious content was found on this site was on 2013-02-04.


このように広告配信サービスで問題が発生すると、その配信を受けている多数のサイトに影響が及ぶ可能性があることがわかります。


実は国内でも同様の事例が2010年に起きています。このときはマイクロアド社において広告配信に使われるデータが第三者によって改ざんされ、そのデータが多数のサイトに配信されてしまいました。今回とは違い、広告が配信されたWebサイトを閲覧したユーザは実際にマルウェアに感染する可能性があったわけです。

【障害報告】弊社サービスの改ざんに関するお詫びと報告 (2010年9月25日)

この度、弊社サービス”アドサーバーVASCOの一部バージョン“におきまして、第三者による悪意的な攻撃を受け、一部データが改ざんされました。これにより、当該期間に弊社サーバーより配信されたHTMLを閲覧したユーザーの皆様が、悪意あるサイトにアクセスしてしまう事象が発生いたしました。このサイトではウィルスに感染する恐れがあったことが判明いたしました。該当のユーザの皆様には、ご迷惑をお掛けしましたことを深くお詫びいたしますと共に、ウィルススキャン/駆除の実施をお願い致します。尚、今回の根本原因となる脆弱なプログラム自体を削除しており、サービスは正常に動作しております。

このときマルウェアに感染したユーザの数は不明ですが、マイクロアド社によるとデータが改ざんされて配信された時間帯に、該当するWebサイトを閲覧したユーザは最大で68万人だったということです。


広告のもつこうした影響力を悪用し、攻撃者自身がマルウェアに誘導するために広告を配信するケースもあるようです。先月には、広告配信ネットワークを利用して Blackhole Exploit Kitに誘導し、Javaの0day脆弱性を攻撃してマルウェアに感染させる事例が報告されています。
Malvertising Campaigns Get a Boost from Unpatched Java Zero-Day Exploits | Trusteer


このような広告配信ネットワークの悪用は Malvertising (malicious または malware advertisingからの造語)と呼ばれており、大量のマルウェア感染を可能にする手法として利用されています*2。なかなか頭の痛い問題ですね。


(参考記事)
NetSeer suffers hack, triggers Google malware warnings | ZDNet
Google Blocks High Profile Sites After Advertising Provider NetSeer is Hacked | threatpost
Malvertising campaigns at multiple ad networks lead to Black Hole Exploit Kit | ZDNet

*1:netseer.comのIPアドレスを見ると GoDaddyですが、AWS上にある www.netseer.comに単にリダイレクトされています。以前からこういう設定だったのかどうか不明ですが、元々 GoDaddyにあったWebサイトが不正アクセスされたので、AWSにリダイレクトするように変更したように見えます。(単なる推測なので違ってたらごめんなさい。)

*2:Googleでは Malvertisingへの対策を行うとともに、情報を提供するサイト Anti-Malvertising.comを公開しています。