Mark さんはお昼休みに New York Times を読んでいました。どこかをクリックしたわけでもなく、添付ファイルをダウンロードしたわけでもなく、 何かをインストールしたわけでもありません。一週間後、Mark さんの業務用ノート PC と、同じチームの別の四台が、ダークウェブのランサムウェア用ダッシュボードに 並んでいました。フォレンジックでたどっていくと、共通点はたった一つ。 あるニュースサイトのホームページに、午前十一時から正午のあいだだけ 汚染されていた広告バナーが表示されていたことです。
これがマルバタイジングです。攻撃者が正規の ad network の中に悪意あるコードを紛れ込ませると、そのバナーを読み込んだブラウザは、何もクリックしていなくても 攻撃を受けます。あなたが開いているサイトは正規。ad network も正規。ただ、配信されている ad unit の JavaScript があなたのブラウザを内側から調べていて、既知の脆弱性が当てはまった瞬間に、 この文を読み終える前にコードを実行してしまう、というだけの話です。
マルバタイジングの実態
ウェブ上の広告は、サイト運営者が自分で配信しているわけではありません。プログラマティック マーケットプレイスでリアルタイムに入札され、何十もの仲介事業者を渡り歩き、 一回から四回ほどの redirect を経て、最後の creative が、あなたが今読んでいるページの iframe の中に届きます。redirect 一回ごとに、運営者が承認したのとは別のものを差し込む隙が生まれます。
マルバタイジングは、まさにこの複雑さに付け込みます。攻撃者は普通の広告主のように ad space を購入し、最初はクリーンな creative で審査を通したうえで、数日後に悪意ある payload にこっそり差し替えます。あるいは、正規の広告主アカウントを乗っ取って、すでに走っている キャンペーンに自分のコードを混ぜ込みます。
出てくる結果は同じです。信頼されているサイトが、あなたを攻撃できるバナーを 表示してしまう。サイトに落ち度はありません。あなたにもありません。攻撃は、 サイト側にもあなた側にもコントロールできない frame の中で起きているからです。
悪意ある広告がブラウザを乗っ取る流れ
攻撃は四つのフェーズで進み、そのすべてがバナーが見える前に終わります。
Probe。広告 iframe の中のスクリプトが、あなたの user agent、ブラウザのバージョン、プラグイン、 タイムゾーン、それから端末のいくつかの特徴を読み取ります。50 ミリ秒もあれば、攻撃する価値のあるターゲットかどうかは判定済みです。古いブラウザを 使っている法人ノート PC が優先的に狙われ、個人の Android 端末は素通り、知られた security researcher の環境ははじかれます。
Match。スクリプトはあなたのシグネチャを exploit のカタログと突き合わせます。RIG、Fallout、あるいはそれに続く Magnitude 系の新しい後継のような exploit kit は、未パッチのまま残されがちな既知の脆弱性のライブラリを、 いつでも撃てる状態で抱えています。
Deliver。exploit が当てはまると、iframe は二段目の payload を読み込みます。仕込まれた PDF リーダー呼び出し、WebGL シェーダー、 あるいは JavaScript エンジンの JIT バグなど、あなたのビルドでブラウザのサンドボックスを破れるものなら何でもござれです。
Execute。ここから先は、あなたの権限で他人のコードが 走り始めます。infostealer、cryptominer、あるいはランサムウェアグループが後で使う 初期アクセスがインストールされます。バナーはその間も普通に表示され続けるので、 利用者の側からは何もおかしなことが起きていないように見えます。
よく知られたサイトで起きた事例
マルバタイジングは机上のリスクではありません。New York Times、BBC、MSN、AOL、 そして Yahoo のホームページは、いずれも ad network 経由でマルウェア配信の拠点に変えられた経験があり、たいていは セキュリティリサーチャーがキャンペーンを公表するまで、誰も気づかないままでした。
Forbes は数年間、ad blocker を使っている読者を締め出し、無効化を求めていました。多くの読者が言うとおりにした ところ、今度はその Forbes 自身が、自社の広告枠を経由して、数週間のうちに 二度もマルウェア配信の踏み台になりました。問題は運営者ではありません。 問題はネット広告のサプライチェーン全体にあります。
の広告インプレッションが悪意あるコードを配信しうる
検出までのキャンペーンの平均寿命
2024–2025 年のマルバタイジング報告件数の増加
アンチウイルスと ad blocker では足りない理由
従来のアンチウイルスは、既知のマルウェアのシグネチャとファイルを照合します。 ところがマルバタイジングで配信されるコードは、一度もディスクに書き込まれません。payload はメモリ上で、多くは WebAssembly の blob の中から直接実行され、最後には自分で痕跡を消していきます。 従来型の AV スキャナにとっては、そもそも見るべきファイルがないわけです。詳しくは Why Antivirus Failsをどうぞ。
Ad blocker は確かに役には立ちますが、万能ではありません。止められるのは、すでに知られている ad server だけです。正規の ad network を通してキャンペーンを買い付けている攻撃者は、当然ブロックリストには載っていません。 加えて、自社のインフラから広告を配信するサイトも増えていて、そこには ad blocker はページを壊さずに手出しできません。
ブラウザには毎月のようにパッチが当たりますが、公開から広い rollout までには数週間かかります。その隙間に exploit kit はどんどんアップデートされていきます。あなたのブラウザが昨日パッチを当てたとしても、 攻撃者側が四週間前から exploit を握っていたなら、結局は四週間ぶん先回りされていた ということになります。
ターゲットにならずに閲覧する
マルバタイジングに対して本当に頼れる唯一の防御は、ブラウザを、自分のデータが 入っている端末から切り離してしまうことです。ブラウザが隔離された環境で動いていれば、 exploit はちゃんと発火しますが、当たるのは使い捨ての VM で、セッションが終わればそのまま消えます。payload があなたの端末に届くことはなく、プラットフォームが次の利用者に渡す前に 作り直してしまうコンテナに落ちるだけです。
機微な情報を扱う閲覧では、この切り分けをいっそ標準にしてしまうのがおすすめです。 知らないサイトでの調査、キャンペーンが走っている最中のニュースサイト閲覧、 ニュースレターから飛んできたリンクを開くとき。そうした場面のたびに、隔離ブラウザは 何かが起きる前に被害の範囲を縛ってくれます。普段使いのブラウザは、すでにログイン 済みの信頼できるサイト専用のままにしておきましょう。
どんな端末でも、デスクトップ並みの快適さを。
Browser.lol を無料で試して、スマホやタブレットでも PC 並みの快適さを体感してみませんか?
デスクトップブラウザを試すダウンロード不要・どんな端末でも動作
