ソフトウエアをアップデートしてから読んでほしい「不正広告」の話：特集：セキュリティリポート裏話（4）（2/2 ページ）

　JIAA事務局によると、アドネットワークはJIAAの会員企業だけでなく多くの事業者が介在する仕組みになっており、広告がどこから入ってきてどこに配信されるのか、全体を把握することは非常に困難だと言います。海外の事業者も入り交じっているのですが、そのポリシーはさまざまであり、業界全体で統一された対策を取るのが難しい状況だそうです。

　トレンドマイクロの指摘によると、不正な広告が表示されてしまった原因としては「アドネットワークへの不正アクセスによる広告の改ざん」と、「正規の手続きによる出稿」の二つが考えられるといいます。前者に対しては、不正アクセスにつけ込まれる隙を与えないよう、アドサーバーセキュリティのいっそうの強化が必要になるでしょう。

　一方後者に対してはどんな手だてがあるでしょうか。JIAAによれば、広告を掲載する媒体やアドネットワークの中には、広告が入稿される際、目視で内容確認を行ったり、ウイルスチェックをかけているところもあるそうです。しかし、もともとの広告の量が膨大でどうしてもすり抜けが発生する上に、「リダイレクト」という仕組みを使われてしまうと、事前のチェックはあまり意味をなしません。トレンドマイクロの森本氏は先の説明会の中で、「リダイレクトが多段に使われてしまうと、追跡や事前の審査はさらに困難になるだろう」とも述べています。

　ですが今回のような被害が広がれば、ネット広告そのものに対する信頼が失われかねません。JIAAではそうした事態を避けるため、対策を検討していると言います。

　まず現在取り組んでいるのは、会員各社向けのインシデント対応マニュアルの作成です。マルバタイジングが確認された時に、どこに連絡してどのように対処すべきか、そして必要に応じてユーザーにどう告知するかのガイドラインを、2016年春頃をめどにまとめる予定です。同時に、「最新のソフトウエアを利用する」ことの重要性を啓蒙していきたいとしています。

　米国では、広告事業者と警察が連携し、悪質な事業者の取り締まりに取り組む例も生まれているそうです。これに習い、国内でも警察をはじめとする公的機関への調査協力や情報共有も前向きに検討していきたいとしています。

広告業界とセキュリティ業界の連携、情報共有を

　それにしても今回JIAAに話を伺って痛感したのは、ネット広告業界の内側で、そしてセキュリティ業界とネット広告業界との間で情報共有ができていないことです。JIAAではマルバタイジングがどの程度広がっているかについて、セキュリティベンダーから公表された情報以上のことはまだ把握できておらず、この部分を解決できる枠組みが必要だとしています。

　例えば広告はたいていの場合、複数のサイトに表示されます。ですから、ある広告が不正なものであることが判別できたり、不正につながる兆候を把握した際に、その情報を速やかに共有、展開することで、被害の最小化を図れるはずです。スパムメールやフィッシングサイトをゼロにすることはできなくても、ブラックリストによる排除や横の連携による対応、ユーザーへの注意喚起といった対策がとられています。森本氏は、マルバタイジングに対して「広告業界全体の取り組みが必要だ」と指摘していましたが、セキュリティ業界はこうした部分に何らかの形で協力できるのではないでしょうか。

　またJIAAでは、マルバタイジングによる被害が顕在化したのはまだ「レア」なケースだとしています。しかし、レアケースだからこそ、今のうちに対処しておくことが重要でしょう。業界全体にまたがるルール作りが困難だというならば、例えば、広告単価だけで競うのではなく、出稿される広告に対し厳密な審査を行い、サーバーのセキュリティを強化し、「安心・安全」で差別化を図るアドネットワークが現れてきてもいいのではないでしょうか。

　広告を掲載し、その恩恵にあずかっているサイトでは（＠ITもその一つです）、自社が掲載しているコンテンツの検査の質を高めていくことが求められるでしょう。森本氏は「媒体者側も、意図せず配信しているという意味で被害者であると同時に加害者になる可能性がある。出稿時の審査や表示されている広告の検査の強化といった取り組みが求められる」と述べています。

　最後に、エンドユーザーとしてできる対策は何でしょうか？ 森本氏によると、マルバタイジングは「不正な広告を表示させる」「リダイレクト先の攻撃サイトで脆弱性を突いてマルウエアに感染させる」という二つの段階に分かれています。前者を食い止めることが無理でも、後者については、OSやソフトウエアを最新のものにアップデートして脆弱性をふさぎ、総合セキュリティ対策ソフトを利用することで、被害を防げると説明しています。ゼロデイ脆弱性が悪用されてしまう場合はどうしようもありません（マルバタイジングに限った話ではありません）が、既知の脆弱性を修正するだけでも、やすやすと感染してしまう可能性を下げることができます。

　ただ、先の川口洋さんのコラム（関連記事参照）でも触れられていますが、どうしても外部に漏れてはいけない情報を扱う環境では、広告を表示させないという選択肢もやむを得ないかもしれません。メディアの片隅に生きる筆者としてはできれば避けていただきたい選択肢、というのが正直なところです。しかしユーザーも身も守る必要がある以上、排除できる選択肢ではありません。ユーザーが広告ブロックに頼る事態を避けたいならば、業界として本腰を入れてネット広告の安全に取り組むのが本筋と言えるでしょう。

　なお、FirefoxやChromeなどのWebブラウザーではFlashコンテンツを自動再生させない機能を搭載し始めました。また、許可したFlashコンテンツのみ再生させるよう、ブラウザーの設定を変更することも事態を一時的に改善してくれるでしょうが、時間の問題に過ぎないかもしれません。Flashの代わりに広告に利用される技術にも脆弱性が発見され、悪用される可能性があるからです。

自社サイトのセキュリティはサードパーティ頼みの時代に？

　いくつか最近のセキュリティリポートに関する取材を重ねる中で、トレンドマイクロだけでなく複数のセキュリティ企業が、ネット広告をはじめとするサードパーティ製のコンポーネントが攻撃に悪用されている事実をつかんでいることが分かりました。

　例えばアカマイ・テクノロジーズは、2015年第三四半期のインターネットセキュリティリポートの中で、広告や第三者サービスの脆弱性を突いた攻撃の増加に言及しています。

　またカスペルスキー 情報セキュリティラボ マルウェアリサーチャーの石丸傑氏は、広告を介したマルウエアの一種の「連鎖」が存在すると指摘しました。

　「メールやWebサイト経由でマルウエアに感染すると、オンライン銀行を狙うトロイの木馬やランサムウエアなどに混じって、設定リストに従っていろいろなアドセンスを裏でロードし、金銭を稼ぐマルウエアがダウンロードされることがある。加えて、アドセンス経由で感染するマルウエアも確認されている。この場合、いわゆる『ダウンローダー』とは異なり、リストに記されたアドセンス経由でマルウエアに感染するため、トラッキングがしにくい。こうしてアドセンス経由で別のものにどんどん感染してしまう負の連鎖が起きている」（石丸氏）

　この時代、一から全てのコンテンツを自力で作っているWebサイトやサービスは存在しないでしょう。今回焦点の当たった広告が代表例ですが、今のWebはさまざまなサードパーティ製のコンポーネントを利用して作られています。そうしたサードパーティ製の信頼性や安全性が、自社のWebサイト・Webサービスのセキュリティを左右する、そんな時代が来ているのが現状のようです。

特集：セキュリティリポート裏話

近年、効果的なセキュリティ対策を実施するには、脅威の最新動向を常にウオッチし、分析することが欠かせません。その成果の一部が多数のセキュリティベンダーから「リポート」や「ホワイトペーパー」といった形で公開されています。この特集では、そんな各社最新リポートのポイントを解説するとともに、行間から読み取れるさまざまな背景について紹介していきます。

特集：セキュリティリポート裏話