読者です 読者をやめる 読者になる 読者になる

malvertizing への対策

malvertizing というのは、mal-(悪意の)advertize(広告)ということで、
広告会社のチェックをすりぬけて配信される、トロイの木馬入りFlash広告、などを指します。

どっかの記事。
www.atmarkit.co.jp

この記事に従えば、マルバタイジングには3種類があります。
(下記の分類をみてのとおり、実際にはほかにもありますが、文字数とかもあるでしょうから。)


1.偽セキュリティソフトの広告
広告で騙されて自らクリックし、転送先で、自らウイルス(PUP)をインストールするタイプ

2.ウイルスサイトに飛ばされる広告
(主に)広告に惹かれて自らクリックし、転送先で、自らウイルスをインストールもしくは自動的にインストールされるタイプ

3.クリック不要で広告が表示されているサイト上で自動的にウイルスに感染するタイプ


記事の2ページ目で、

 トレンドマイクロの指摘によると、不正な広告が表示されてしまった原因としては「アドネットワークへの不正アクセスによる広告の改ざん」と、「正規の手続きによる出稿」の二つが考えられるといいます。前者に対しては、不正アクセスにつけ込まれる隙を与えないよう、アドサーバーセキュリティのいっそうの強化が必要になるでしょう。

 一方後者に対してはどんな手だてがあるでしょうか。JIAAによれば、広告を掲載する媒体やアドネットワークの中には、広告が入稿される際、目視で内容確認を行ったり、ウイルスチェックをかけているところもあるそうです。しかし、もともとの広告の量が膨大でどうしてもすり抜けが発生する上に、「リダイレクト」という仕組みを使われてしまうと、事前のチェックはあまり意味をなしません。トレンドマイクロの森本氏は先の説明会の中で、「リダイレクトが多段に使われてしまうと、追跡や事前の審査はさらに困難になるだろう」とも述べています。

a.「目視で内容確認」ってのは1番で、問題は「もともとの広告の量が膨大でどうしてもすり抜けが発生する」。
b.「リダイレクト」っていうのは2番で、問題点は「事前のチェックはあまり意味をなしません」。
ごちゃまぜにしているあたりがわけわかってないと思う。

これへの対策は、
a.審査しろ、甘えてるんじゃねえ、お前の仕事だろ。
b.リダイレクトさせないため、バナーをクリックした先は広告会社のサーバにしろ。
だと思います。

で、本題。

 最後に、エンドユーザーとしてできる対策は何でしょうか? 森本氏によると、マルバタイジングは「不正な広告を表示させる」「リダイレクト先の攻撃サイトで脆弱性を突いてマルウエアに感染させる」という二つの段階に分かれています。

これがaとbで、つまり1と2なんですが、
ということは、3について書かれていない。

 なお、FirefoxChromeなどのWebブラウザーではFlashコンテンツを自動再生させない機能を搭載し始めました。また、許可したFlashコンテンツのみ再生させるよう、ブラウザーの設定を変更することも事態を一時的に改善してくれるでしょうが、時間の問題に過ぎないかもしれません。Flashの代わりに広告に利用される技術にも脆弱性が発見され、悪用される可能性があるからです。

リダイレクトされた先のサイト上のFlashではなく「広告に利用されるFlash」が問題だとわかっているにも関わらず、トレンドマイクロさんはスルーしている。困った話です。

この3番への対策。
広告会社は、データとプログラムを分離する、です。
画像だろうと動画だろうと、配信するためのプログラムはあらかじめ広告会社側で用意して、
データだけ、広告材料として受け付ければよいのです。
自由度がないと言われたら、あるように、広告会社の社内で作ればよいのです。
つまり、(記事にあるような)ブラックリスト方式ではなく、ホワイトリスト方式です。

こんなかんじで3つの問題に対して3つの対策を考えてみましたが、どうでしょうか。

広告には Flash 以前に JavaScript もあるので、
そのどちらもが「危険」なため、ドメイン名ごとブロックせざるをえない現状
からは一歩前進できるのではないでしょうか。



追伸:
モバイルサイトで広告に、自動で動画を流すんじゃねえ!パケット代かかるでしょうが!!