数千万台のスマホやPCに詐欺アプリや有害サイトへの誘導広告を出す攻撃グループ「Tag Barnakle」とは？

「広告配信サーバー(アドサーバー)の脆弱性を利用し攻撃することで、数千万台以上のスマートフォンやPCに悪意ある広告を表示させ、ユーザーを詐欺アプリや有害サイトに誘導する」という手法を取る攻撃グループ「Tag Barnakle」の活動をセキュリティ企業のConfiantが報告しました。Tag Barnakleの存在は以前から知られていましたが、ターゲットとなるアドサーバーの数が、この1年で2倍になっているとのことです。

Tag Barnakle One Year Later: 120+ More Revive Adserver Hacks | by Eliya Stein | Apr, 2021 | Confiant
https://blog.confiant.com/tag-barnakle-one-year-later-120-more-revive-adserver-hacks-f3e5b3bc8e70

Millions of web surfers are being targeted by a single malvertising group | Ars Technica
https://arstechnica.com/information-technology/2021/04/malvertisers-use-120-hacked-ad-servers-to-target-millions-of-web-surfers/

オンライン広告を通じてマルウェアを拡散させたり、ユーザーを悪質なウェブサイトに誘導したりする行為を「Malvertising(マルバタイジング)」と呼びます。マルバタイジングを仕掛ける攻撃者は通常、広告配信システムにおける無害な広告購入者を装い、お金を支払って有害な広告を配信します。この場合、攻撃者は広告配信システムの仕組みを学び、「無害」だと評価される広告購入者を作り上げる必要があるため、非常に多くの時間とお金を必要します。

しかし、Confiantが新たに報告した「Tag Barnakle」というマルバタイジンググループは、上記のような従来型の方法を取らず、広告費をびた一文支払わずに攻撃を行っているとのこと。

Confiantによると、Tag Barnakleはオープンソースの広告配信サーバー「Revive Adserver」をハッキングすることで攻撃を実施。Revive Adserverはサードパーティーに依存せず独自のアドサーバーを運用したい人向けにサービスが提供されています。Tag Barnakleにより侵害されているアドサーバーの数は、Confiantによれば2020年8月時点で最大60台、2021年には倍の120台と目されています。

Tag BarnakleはReviveソフトウェアの脆弱性を利用してサーバーを侵害し、広告を改ざんします。この時、Tag Barnakleは検知を避けるためにクライアント側のフィンガープリントを利用し、少数の「最も魅力的なターゲット」のみに悪意ある広告を表示していたとのこと。

Tag Barnakleが悪意ある広告を配信する仕組みは以下。

Tag Barnakleの手法は2020年に報告された時から変わっておらず、サーバーにパッチを適用していない広告会社をターゲットにしているとのこと。ただし、2020年の報告時にはデスクトップOSがターゲットでしたが、ここ1年でモバイルユーザーもターゲットにする方向に変わってきています。

以下は実際に表示される内容の一例。ユーザーの端末がセキュリティ上の危険にさらされていることを示し、無名のセキュリティアプリにリダイレクトしようとしています。

被害にあったサーバーの数が120台ということを軽視する専門家もいるそうですが、これらの広告会社はリアルタイムビッディング(RTB)を利用しており、広告をさまざまな広告会社に配信しています。これにより、ハッキングされたサーバーを超えた多くの場所で悪意ある広告が表示される事態になっています。Confiantは「Tag Barnakleの悪意ある広告が配信された数を正確に計算することはほぼ不可能ですが」と前置きしつつ、控えめな見積もりとして「数億とまではいかなくとも数千万台のデバイスにのぼります」としています。