米Google、MSのアドネットワークで悪意ある広告の配信:サイトを閲覧するだけで感染のおそれ
2010年12月11日 15:16
米セキュリティコンサルタント会社Armorize Technologiesは11日、ここ数日間でマルウェアの「HDD Plus」が急激に広がったと発表した。米グーグルと米マイクロソフト(MS)のアドネットワークを通じて悪意のある広告が配信されたことが一因という。
同社の発表によると、ユーザがグーグルの「DoubleClick」かMSの「rad.msn.com」から配信される広告を掲載するサイトを訪問すると、「ADShufffle.com」から配信される悪意のあるジャバスクリプトが、ユーザーに気付かせないようにダウンロードを開始し、成功すると「HDD Plus」やその他のマルウェアをユーザーのパソコンにインストールさせる。ユーザーが広告をクリックするなどのアクションを行わなくても、ただ問題の広告を配信するウェブサイトに訪問するだけで感染する可能性があるという。
感染の可能性があるサイトは、「DoubleClick」か「rad.msn.com」の広告を配信しているサイトで、Armorize社は、Scout.com、realestate.msn.com、msnbc.com、 mail.live.comなどを指摘している。
同社によると、今回の攻撃にはInternet Explorer、JDT、Adobe Reader、Microsoft MDAC の RDS.Dataspace ActiveXの合計7種の脆弱性が利用されていた。
同社は今回の攻撃の重要な点として、以下の5つを指摘している。
1.ユーザーに気付かせないで悪意ある広告をダウンロードさせ、クリックしなくても感染すること
2.最大規模のアドプラットフォームが利用され、大手ウェブサイトが感染したこと
3.攻撃が人為的に非常に分かりにくくされていること
4.アンチウイルスベンダーによる感染の検出率が当初は非常に低かったこと
5.ADShufffle.comグループが、同社が発表を行った時点でも活発に問題の広告を配信していること
今回の問題の発見の経緯や、攻撃の詳細については同社のブログで確認できる。
今回の発表に先立って、米PCWorldがこの件について報じていた。グーグルは10日にPCWorldに対して同社の「DoubleClick」ネットワークで問題が発生していたことを認めたが、同社の広報担当者は「DoubleClick Ad Exchangeで複数の広告がマルウェアに感染していることを検出し、直ちに、数秒以内にブロックした」「当社のセキュリティチームは当社以外のものも含めたあらゆる広告プラットフォームから影響を受けたクリエイティブを除去するためにArmorizeと協力していると」回答したという。