何百万人ものユーザーが広告まみれのページを強制表示されていることがGoogleの研究で判明

2015年に入ってから5月の時点で、10万人以上のChromeユーザーから広告に関するクレームがGoogleに寄せられているそうです。Googleはブラウジング中にユーザーが訪れるウェブページに望まない広告を表示するプログラムを「Ad injector」と呼んでおり、これらのAd injectorがウェブ上にはびこる実態を調査した研究結果を発表しています。

Google Online Security Blog: New Research: The Ad Injection Economy
http://googleonlinesecurity.blogspot.jp/2015/05/new-research-ad-injection-economy.html

Ad Injection at Scale: Assessing Deceptive Advertisement Modifications
(PDFファイル)https://cdn3.vox-cdn.com/uploads/chorus_asset/file/3673260/ad_injector_paper.0.pdf

望まない広告を表示するビジネスには驚くほど多くの業者が参入しており、オンライン上に複雑な広告経済システムを構築しています。この複雑な広告経済システムによって問題の大きさの把握や解決策の模索が困難になっていますが、望まない広告を挿入するプログラムは単に迷惑なだけではなく、多くのユーザーに危険なセキュリティリスクまでもたらしています。この事態を重く見たGoogleは、カリフォルニア大学バークレー校とサンタバーバラ校と共同で「Ad injector」を調査した研究結果を発表しました。今回ほど詳しくAd injectorの実態が調査されたのはこれが初めてとのこと。

以下は実際にAd injectorに感染した状態でウェブページを開くと表示される一例。Amazon.comではいくつものポップアップ広告が表示されています。

同じ状態でGoogle検索から「iPhone 5」と検索すると、検索結果ページのほとんどを広告が占めていて、Appleの公式ウェブサイトなどに到達できない状態。通常、これらの広告はAd injectorに感染していなければ表示されません。調査によると、Googleにアクセスしているユニークユーザーのうち5.5％、人数にすると何百万人ものユーザーが望まない広告を表示されたページを閲覧していることがわかっています。

Ad injectorはソフトウェアや拡張機能を通じて感染します。Googleの調査ではAd injectorの機能を備えた拡張機能が5万以上も見つかっており、Ad injector機能を持つソフトウェアは3万4000以上も発見されています。そのうちの30％は証明書を盗み出すものや、検索クエリを乗っ取るもの、ユーザーの行動を追跡して外部へ送信するものなど、明らかに悪意を持つものが含まれていました。OS別に見ると、Windowsからのアクセスのうち5.1％、Macからのアクセスのうち3.4％がAd injectorソフトに感染していたとのこと。

これらのソフトウェアは有名なソフトのダウンロードリンクにバンドルアプリとして組み込まれていることや、SNSの広告キャンペーンで配布されています。挿入された広告はクリック単価で報酬が発生する仕組みで、Googleの調査だけでCrossrider、Shopper Pro、Netcrawlといった1000社を越えるAd injectorビジネスが発見されています。

Ad injectorによる広告の被害はSears、Walmart、Target、Ebayのような有名なショッピングサイトにまで及んでおり、ネット上のトラフィックを増加させる要因にもなっています。GoogleはこのようなAd injectorへの対処として、Chrome ウェブストアから1400万人以上を感染させたと見られる192の拡張機能を削除済み。さらに不正なソフトウェアをダウンロードしようとした時に表示される赤い警告表示の改善を実施しました。なお、この警告機能は「Safe Browsing API」として開発者向けにも公開されています。

さらに、Googleは広告主による不正なソフトウェアの促進を防ぐGoogle AdWordsのポリシー改訂も実施しており、望まない広告を掲載しづらくすることで、広告システム全体の改善を促していく予定です。