大手ウェブサイト上の広告から数万人規模でマルウェア感染が広がる

By Lee Davy

セキュリティ上の脆弱性を攻撃するためのプログラム「エクスプロイトコード」をパッケージ化し、最新の脆弱性への攻撃プログラムなどを随時追加することで、さまざまな攻撃が仕掛けられるようになっているプログラムを「エクスプロイトキット(Exploit Kit)」と呼びます。そのエクスプロイトキットを駆使した大規模な攻撃が実行されていたことが2016年3月14日に判明しました。攻撃の内容は、アメリカの大手ニュースサイトなどに配信されたインターネット広告からリダイレクトでエクスプロイトキットをダウンロードさせるというもので、ダウンロード後はマルウェアを自動でダウンロードされてしまう模様です。

Massive Malvertising Campaign in US Leads to Angler Exploit Kit/BEDEP - TrendLabs Security Intelligence Blog
http://blog.trendmicro.com/trendlabs-security-intelligence/malvertising-campaign-in-us-leads-to-angler-exploit-kitbedep/

Angler Takes Malvertising to New Heights
https://www.trustwave.com/Resources/SpiderLabs-Blog/Angler-Takes-Malvertising-to-New-Heights/

大手ウェブサイトに表示されたインターネット広告を使ってAngler Exploit Kitをダウンロードさせるという攻撃では、直近24時間だけでアメリカ国内の数万人ものインターネットユーザーが被害にあったと推測されています。

セキュリティソフト開発のトレンドマイクロによると、この悪意のある広告は訪問者の多いウェブサイトで使用されているアドネットワークから配信されているもので、トレンドマイクロがこの事実を公表した2016年3月14日の時点ではまだ悪意のある広告が配信されており、これらの広告を閲覧したユーザーのPCに自動でマルウェアがダウンロードされる危険性があると警告しています。

「悪意のある広告」はこんな見た目だそうです。

トレンドマイクロと同じセキュリティ関連企業のTrustwaveは、悪意のある広告が表示されてしまった大手ウェブサイトは「answers.com」や「zerohedge.com」「infolinks.com」などであることを明かしており、Ars Technicaによれば「The New York Times」「BBC」「MSN」「AOL」といった企業も被害を受けているとのこと。なお、トレンドマイクロとTrustwaveの両方があくまで「ウェブサイト側は被害者である」としています。

トレンドマイクロの研究員は「私の分析では、一度ページを読み込んで悪意のある広告を表示してしまうと、広告が自動で2つの悪意のあるサーバーにリダイレクトして、ユーザーのPCにAngler Exploit kitをダウンロードしてしまう」と語っています。

ソースコードから一度目のリダイレクト処理に関する部分を発見。

二度目のリダイレクトはこんな感じ。ここからAngler Exploit kitのダウンロードがスタートする模様

Angler Exploit Kitは2015年に猛威をふるったエクスプロイトキットのひとつで、最近になって新しい脆弱性を駆使するコードが追加されたりと、現在も活発に更新されているものです。以下のグラフは3月9日から13日までの期間に発見されたAngler Exploit Kitの活動数で、13日にその数が倍増していることがわかり、ここから悪意のある広告が配信され始めたであろうことが推測できます。

トレンドマイクロによると、ダウンロードされたAngler Exploit Kitはバックドア型のマルウェアである「BEDEP」の亜種をダウンロードし、さらに「TROJ_AVRECON」から直接マルウェアをダウンロードし始める模様。また、Malwarebytes Labsによると、この攻撃でGoogle、AppNexis、AOL、Rubiconの保有するネットワークが影響を受けたそうです。

なお、Angler Exploit KitがAdobe FlashやMicrosoft Silverlightなどの脆弱性を利用することが知られていますが、トレンドマイクロはセキュリティパッチをアップデートすることを推奨しています。