ニコニコ動画のニセFlashPlayer広告の原因はマイクロアド、悪質マルウェア配布の手口はこうなっている


「このページは表示できません! Flash Playerの最新バージョンへのアップデート!」というようにしてあたかもFlashPlayerを更新しなければならないかのように見せかけて、まったく関係のない悪質なソフトウェア(マルウェア)をインストールさせようとする広告が6月19日(木)からニコニコ動画で表示されるようになって大騒ぎになっていた件について、原因がマイクロアド社の広告ネットワークから配信される広告スクリプトであったことが発表されました。

マイクロアド社広告経由のマルウェアについて‐ニコニコインフォ
http://blog.nicovideo.jp/niconews/ni046930.html

調査の結果、マイクロアド社の広告ネットワークから配信される
広告に埋め込まれたスクリプトにより表示されているものであったため、
マイクロアド社への連絡を行うとともに、
6月19日(木)正午までに該当の広告ネットワークとの通信遮断を実施しました。


現時点ではこれ以上の被害拡大はないものの、既にださまれてマルウェアをインストールしてしまったユーザーなどに対する回復方法や、そもそも被害に遭ったかを判別する方法などは今後、案内されるとのことです。

また、今回の件についてはマイクロアド社のページでも以下のように告知されています。

≪悪意のあるサイトへ誘導される広告表示に関して≫
http://www.microad.co.jp/info/info20140619.html

弊社が提供する媒体社向け広告配信サービス”MicroAd AdFunnel”をご利用頂いている一部の媒体社において前述の悪意あるWEBサイトへ誘導される広告表示が行われていた事象が報告されました。
本事象は、特定の広告がFlash Playerダウンロードサイトを騙る悪意あるWEBサイトへユーザーを誘導し、不正なプログラムのダウンロードを促すものです。
問題となった広告は、弊社が提携している米国の広告事業社から弊社の広告配信サービスを経由して広告配信が行われていたことを確認しましたので、6月19日午前10時頃に該当事業社からの広告配信を停止しました。
なお本事象に関しまして、提携する米国事業社の報告では当該する広告と関連するドメインをすべて特定し停止処置を完了しているとの報告を受けております。


「MicroAd AdFunnel」自体はさまざまなその他の広告ネットワークからの広告配信も受け付けており、上記文面によると「マイクロアドのネットワークを利用している別の広告ネットワーク経由で今回のマルウェアを配信する広告が配信された」ということになっており、要するに「マイクロアドの管理が徹底していなかった」ということがわかります。

そもそも今回のマルウェアがどのようなものかという件についてはノートンアンチウイルスで有名なシマンテックが公式ブログにて解説を行っています。

Nico Nico Users Redirected to Fake Flash Player | Symantec Connect Community
http://www.symantec.com/connect/blogs/nico-nico-users-redirected-fake-flash-player

まずこれがFlashPlayerをインストールしなければならないように見せかける悪質な広告、これがマイクロアド経由で配信されていたわけです


ここで「OK」をクリックすると以下のようなサイトに飛ばされます。McAfeeのアンチウイルスソフトもインストールするかどうかの選択肢がないだけで、それ以外はホンモノとそっくりに作られているのがポイント。


この状態でさらに進むと「偽Flash Playerで同意ボタンを押したら不要ソフトがてんこ盛り! setup.exeの正体 - 無題な濃いログ (新) - Yahoo!ブログ」で解説されているように、以下のようなインストール画面が出現します。


このままクリックするとブラウザハイジャッカー「Search Protect」、エラー警告を表示して有償版購入に誘導する「RegClean Pro」、オンラインストレージサービスの登録へ誘導する「MyPCBackup」、ウイルス感染警告を表示して有償版の購入へ誘導する「Advanced System Protector」、エラー警告を表示して有償版の購入へ誘導する「System Speedup」、見ているウェブサイトに広告を埋め込むアドウェア「Buzz-It」「Plus-HD」、リモートデスクトップソフト「VuuPC」がインストールされます。もしも既にインストールしてしまっていた場合、これらのマルウェア・アドウェアをアンインストールする必要があります。


なお、今回の件について、正しいFlashPlayerのダウンロード先はどこかということをAdobeの公式Twitterアカウントが以下のような告知を出しています。


2014/06/20 15:22追記

マイクロアドが発生原因や発生時間についての詳細なリリースを出しました。

≪広告配信障害に関するプレスリリースの追記に関して≫ | MicroAd

発生原因は「MicroAd AdFunnel」経由でアメリカのYahoo!が運営している「Yahoo! AdExchange」が日本国内に向けて広告を配信する際に、特定の悪意ある広告が混入したことによるものであり、発生日時は6月19日0時頃より6月19日午前8時頃まで、とのことです。なお、「現在、当該アドエクスチェンジとは接続を遮断しておりこれ以上の被害拡大はありません」としています。

・関連記事
偽セキュリティソフト「Security Tool」感染爆発、原因はマイクロアドの広告配信サーバへの攻撃 - GIGAZINE

316

in ネットサービス, Posted by darkhorse