無防備なネットユーザがオンライン広告でウイルスに感染する危険

Avast! が有名なオンライン広告会社の怠惰で粗末なセキュリティにさらされる。 Yahoo と FOX Audience Network は無防備なユーザにマルウェアとウイルス満載の広告を配信したとして信用できないオンライン広告サーバ一覧のトップとなる。

(3月16日チェコ共和国プラハ) avast! アンチウイルスの供給元である ALWIL Software の調査員は有名なオンライン広告業者によって掲載されたウェブ広告に感染する動きを発見しました。

その攻撃は様々な広告主によって掲載されている広告に感染し、Google や Yahoo などの代表的なウェブサイトを訪問する人々のコンピュータにマルウェアを植えつけます。

一番被害にあったのはyieldmanager.com (Yahoo) と fimserve.com (FOX Audience Network)で、オンライン広告の半数以上を占めます。汚染された広告業者は広範囲に及び advertangel.com, bannerimg.com, jambovideonework.com, myspace.com, vestraff.com や zedo.com などが含まれています。Google と提携している広告サーバである Doubleclick.com は avast! のウイルスラボにおける感染率を示す一覧で5位になっています。

avast! の上級ウイルス分析担当者であるイジー セイトゥコは「ユーザが何もクリックする必要がないので、広告を汚染するという方法はどんどん一般的になってきている」と説明しています。「ユーザが好みの新聞を読んだり一般的な事項を検索するだけで感染してしまう。汚染された広告がブラウザに読み込まれるとすぐに感染し始めるのさ」

avast! のウイルスラボではこの攻撃のベクトルをJS:Prontexi と名づけました。これはJavaScript のコードでAdobe やその他のゼロデイ攻撃に弱いソフトウェアに対してマルウェア攻撃のためのチャンネルとして振舞います。

「JS:Prontexi は広告配信業者が配信している内容をよく検査していないということを示しています」とセイトゥコは言います。「このような感染した内容を掲載するということは 広告会社にとって二重の危険があります」さらに「 消費者からの信頼を失うだけではなく消費者を注意深くさせ、マルウェアの供給元としてアンチウイルスのプログラムにブロックされることもある」とセイトゥコは述べています。

「アンチウイルスのプログラムがよく訪問しているサイトをブロックしたからといって、ユーザは誤検知だと非難してはいけない。本当に危険が潜んでいるかもしれないから」とセイトゥコは説明します。「今年初め avast! とライバル社であるカスペルスキー社のラボはyieldmanager をこの攻撃のためにブロックしたんだ。もしこれらの業者の広告がたくさん感染しているようなら、ユーザを守るためにはこれらを完全にブロックするのが一番容易な方法なんだ」

2 月にJS:Prontexi が急増したので、この攻撃のベクトルから完全に保護するために avast! はウイルスデータベースを更新しました。それぞれのコンピュータにある avast! センサーはユーザが感染しないように悪意のあるJavaScript を検知しブロックします。流行し拡散している汚染された広告に関するほとんどのデータが「avast! コミュニティ IQ」のユーザによって収集されています。弊社の1億人に上るユーザがウェブの危険を報告し、avast! の開発者によりよい保護対策を構築する手助けをしてくれています。

汚染された広告に関しての技術的な詳細はこちらのページを参照してください:
http://blog.avast.com/2010/02/18/ads-poisoning-%E2%80%93-jsprontexi/