メモ

Googleアナリティクスを悪用して広告とポルノをウェブに挿入する攻撃方法が判明

By Sean MacEntee

多くの家庭でも使われているルータのバグを悪用し、本来は想定されていない広告やポルノコンテンツを配信する手法が明らかにされました。悪用手法の内容はDNS Changerと呼ばれるマルウェアを使ってルータにキャッシュ保存されるDNS設定を不正に書き換え、ページ内で使われているGoogle Analyticsのタグを乗っ取る仕組みになっています。

Ara Labs | Ad-Fraud Malware Hijacks Router DNS – Injects Ads Via Google Analytics
http://aralabs.com/blog/2015/03/25/ad-fraud-malware-hijacks-router-dns-injects-ads-via-google-analytics/

この仕組みを解明したのは、ネットのセキュリティソリューションを提供しているAra Labs。実際にどのような影響が現れるのか、以下のムービーでその一例が示されています。

Ads Injected Via Hijacked Router DNS on Vimeo


Google ChromeのURL欄にアドレスを入力。このデモの場合はThe VergeのURLが記入されました。


ほどなくしてThe Vergeのサイトが表示されましたが、画面下に本来はないはずのバナー広告が表示されたり……


さらに大きく「ペラリ」とマウスオンでめくれる広告が表示されました。これも本来のThe Vergeでは表示されないもの。


次に、The Huffington Postのサイトを入力。


同じように、本来はないはずのオンラインゲームのバナーが表示されています。


最後に、New York Timesのサイトを表示。


すると、画面左下に本来はあるはずもないポルノサイトの広告が表示されました。


一見すると各サイトがハッキングを受けて不正に広告が挿入されたもののように見えますが、実は各サイト自体に問題はなく、本当の原因はサイトに埋め込まれているGoogle Analyticsのタグを悪用したものであることが判明しています。

◆Google Analyticsの仕組みを悪用した広告・ポルノの送りつけ方法
Googleが提供しているGoogle Analyticsは、その高度なサイトトラフィック分析機能のために今や非常に多くのサイトで活用されています。利用の際には、ページ管理者はソースコードにGoogle Analyticsタグを利用するためのウェブトラッキング コードを設定します。


このコードが設定されたページを閲覧者が開くと、Google Analyticsのタグによってページ閲覧に関するアクションを記録するためのJavascriptがロードされ、データが記録される仕組みになっているのですが、この際に参照するサーバの情報を不正に書き換えることで、本来は参照されるはずもない広告サーバなどへ飛ばされ、Google Analyticsのかわりに不正に広告が表示される、という仕組みです。

その動作を図解するとこんな感じ。(1)閲覧者がページを開くと、ブラウザがGoogle AnalyticsサーバのURLを指定して必要なファイルを要求、(2)指定されたURLは、ルータなどに保存されているDNS設定を元にIPアドレスに変換されるのですが、このときにルータのDNS設定が書き換えられていると、悪意のある第三者のIPアドレスがブラウザに返されます。(3)必要なIPアドレスを入手したブラウザは疑うことなく指定されたIPを使ってサーバへアクセス。ここで、本来はないはずの広告やポルノコンテンツが閲覧者に戻され、ページ内に表示される、というわけです。


まるで各サイトがハッキングを受けたように見える挙動ですが、実際の問題はDNS設定を書き換えられてしまったルータに存在しています。ルータのセキュリティホールを突いてDNS設定を書き換える問題は以前から指摘されているのですが、今回の仕組みはそのバグを悪用したもの。Google Analyticsを悪用する理由は単に「幅広いサイトに取り入れられているから」というものです。

◆問題の解決方法は?
上記の通り、この件に関する原因はルータのDNS設定が書き換えられてしまうところにあるため、そのバグを取り除くことで多くの場合は回避が可能。各メーカーが配布しているルータのファームウェアアップデートを確実に行うことで、要らぬ問題に巻き込まれるリスクは回避できそうです。

また、広告提供主の目線から見ると、本来は想定していない形で広告が表示されてしまうと言う問題も存在していますが、これに関しては今のところ抜本的な解決策はない状況。今回の分析結果を公表したAra Labsでは問い合わせ窓口を設けて相談に乗るとしています。

この記事のタイトルとURLをコピーする

・関連記事
1200万台以上のルーターのファームウェアに脆弱性が判明、接続した全てのデバイスが攻撃対象に - GIGAZINE

ダイナミックDNSがマルウェアの温床になっているとしてMicrosoftがNo-IPのドメイン差し止め - GIGAZINE

Googleと同じDNSが使えて機能満載の独自ドメイン登録サービス「Google Domains」開始へ - GIGAZINE

30万台以上のワイヤレスルーターがパスワードや設定を変更するハッキング攻撃を受けていることが判明 - GIGAZINE

アメリカから輸出されるWi-Fiルーターには盗聴用ツールが仕込まれている可能性 - GIGAZINE

USBポートに挿し込み数秒でPCに遠隔操作可能なバックドアを仕掛けてDNSまで書き換えてしまうハッキングデバイス「USBdriveby」 - GIGAZINE

スマホに自動で不要なアプリがインストールされ広告も配信されまくる事態が発生、その原因とは? - GIGAZINE

「スマホの電源がオフの間も監視するマルウェア」はどのように動いているのか? - GIGAZINE

Wi-Fi経由で街中の道路信号システムが乗っ取られてしまう危険性が発覚 - GIGAZINE

・関連コンテンツ

in メモ,   ソフトウェア,   ハードウェア,   動画, Posted by darkhorse_log

You can read the machine translated English article here.