Googleの広告サーバ「DoubleClick」がマルウェアを配信していた

By Lee Davy

セキュリティリサーチ会社のMalwarebytesが有名サイトの広告に不穏な動きがあることを確認し調査したところ、Googleの広告配信サービス「DoubleClick」とアド・テクノロジー企業「Zedo」の広告サーバからマルウェアが配信されていたことが判明しました。

Large malvertising campaign under way involving DoubleClick and Zedo | Malwarebytes Unpacked
https://blog.malwarebytes.org/malvertising-2/2014/09/large-malvertising-campaign-under-way-involving-doubleclick-and-zedo/

Malwarebytesが不審な行動を検知したのはオンライン・ストリーミング・ラジオの「Last.fm」、ニュースサイトの「The Times of Israel」や「The Jerusalem Post」といった著名サイトのウェブ広告。該当サイトのURLを開くとアンチウイルスソフトウェアやMalwarebytesのシステムから尋常ではない数の警告が出たとのこと。Malwarebytesはさらなる調査を行い、GoogleのDoubleClickとZedoの広告サーバからWin32/Zemotというマルウェアが配信されていることを突き止めました。


Win32/Zemotは2014年9月9日にMicrosoftが無料で配布しているWindows対応のコンピュータウイルス除去ツール「Malicious Software Removal Tool」のウイルス定義データに追加されたマルウェア。広告を介してマルウェアを配信するマルバタイジングは目新しくないものの、Win32/Zemotが問題なのは広告を介してPCにインストールされると、今度はWin32/Zemotが配信元となりPWS:Win32/Zbot.gen!APWin32/RovnixWin32/ViknokWin32/Teschという別のマルウェアをPCにダウンロードしてしまうことです。


また、Malwarebytesのリサーチャーであるジェローム・セグラ氏は「今回のマルウェア発見で重要視しなければいけないのは、広告が掲載されていたウェブサイトが感染していたのではなく、広告配信元のGoogleのDoubleClickやZedoからマルウェアが配信されていたことです」と話し、「今回のような大規模な攻撃はなかなか珍しく、アンチウイルスソフトを最新バージョンにアップデートして対応するべきです」とユーザーに注意を呼びかけていました。

ただし問題が発覚した2日後の9月19日には該当サイトの広告に問題は確認されず、何らかの対応がされた模様です。

・関連記事
アップルのApp Storeにマルウェア認定されたアプリが初出現 - GIGAZINE

Androidアプリの10本に1本がマルウェアという調査結果をTrendMicroが発表 - GIGAZINE

Yahoo!の広告からマルウェアが送り込まれて何千人も感染する事態が発生 - GIGAZINE

Androidのマルウェア入りアプリが数年で4倍という爆発的増加を示す研究結果 - GIGAZINE

JPEG画像のEXIFヘッダにマルウェアを隠して実行させる新しい手口が登場 - GIGAZINE

スマホにマルウェアを感染させ個人の行動を監視する政府向けのサービス「Galileo」の存在が明らかに - GIGAZINE

70

in ネットサービス, Posted by darkhorse_log