Googleの広告サーバ「DoubleClick」がマルウェアを配信していた

By Lee Davy

セキュリティリサーチ会社のMalwarebytesが有名サイトの広告に不穏な動きがあることを確認し調査したところ、Googleの広告配信サービス「DoubleClick」とアド・テクノロジー企業「Zedo」の広告サーバからマルウェアが配信されていたことが判明しました。

Large malvertising campaign under way involving DoubleClick and Zedo | Malwarebytes Unpacked
https://blog.malwarebytes.org/malvertising-2/2014/09/large-malvertising-campaign-under-way-involving-doubleclick-and-zedo/

Malwarebytesが不審な行動を検知したのはオンライン・ストリーミング・ラジオの「Last.fm」、ニュースサイトの「The Times of Israel」や「The Jerusalem Post」といった著名サイトのウェブ広告。該当サイトのURLを開くとアンチウイルスソフトウェアやMalwarebytesのシステムから尋常ではない数の警告が出たとのこと。Malwarebytesはさらなる調査を行い、GoogleのDoubleClickとZedoの広告サーバからWin32/Zemotというマルウェアが配信されていることを突き止めました。

Win32/Zemotは2014年9月9日にMicrosoftが無料で配布しているWindows対応のコンピュータウイルス除去ツール「Malicious Software Removal Tool」のウイルス定義データに追加されたマルウェア。広告を介してマルウェアを配信するマルバタイジングは目新しくないものの、Win32/Zemotが問題なのは広告を介してPCにインストールされると、今度はWin32/Zemotが配信元となりPWS:Win32/Zbot.gen!AP・Win32/Rovnix・Win32/Viknok・Win32/Teschという別のマルウェアをPCにダウンロードしてしまうことです。

また、Malwarebytesのリサーチャーであるジェローム・セグラ氏は「今回のマルウェア発見で重要視しなければいけないのは、広告が掲載されていたウェブサイトが感染していたのではなく、広告配信元のGoogleのDoubleClickやZedoからマルウェアが配信されていたことです」と話し、「今回のような大規模な攻撃はなかなか珍しく、アンチウイルスソフトを最新バージョンにアップデートして対応するべきです」とユーザーに注意を呼びかけていました。

ただし問題が発覚した2日後の9月19日には該当サイトの広告に問題は確認されず、何らかの対応がされた模様です。