Web広告からのマルウエア感染「Malvertising」にどう対処すべきか：川口洋のセキュリティ・プライベート・アイズ（57）（2/2 ページ）

[川口洋（株式会社ラック チーフエバンジェリスト CISSP），＠IT]

調査結果

　200のWebサイトに対する調査結果は以下のようになりました。

• Web広告会社の数：181
• ドメインの数：241
• ホストの数：641

　この結果を見て、世の中にはこんなにもたくさんのWeb広告会社が存在するのかと驚きました。綿密に調べれば重複する会社もあると思いますが、それでも、多くの業者が参入している業界であることが分かります。また、これらのWeb広告会社の中には日本国内の会社だけでなく、海外のものも含まれています。Malvertisingの問題に対応するには、広告会社1社だけの取り組みではどうにもならないということがよく分かります。

　次に、1サイトが読み込むWeb広告数の平均は以下のような結果になりました。多数のWeb広告会社のコンテンツが読み込まれることが分かります。最近はタグマネジメントシステムや広告枠の売買の仕組みが整備されているため、このような結果になっているのだと推測します。

• 平均17Web広告会社／サイト
• 平均8ドメイン／サイト

　調査対象のWebサイトのうち、Web広告の読み込み数トップ20は以下のようになりました。

順位	運営者の業種／Webサイトの内容	Web広告読み込み数
1	出版社A（週刊誌）	60
2	女性向けWebメディア	59
3	化粧品メーカー	57
4	ネットメディアA	54
5	出版社B（週刊誌）	46
6	出版社C（週刊誌）	44
7	ネットメディアB	42
8	乗り換え案内A	36
9	新聞社	35
10	ネットメディアC	34
10	乗り換え案内B	34
12	携帯電話会社A	32
13	不動産会社	30
14	通販会社	29
15	通信会社	28
15	携帯電話会社B	28
15	ネットメディアD	28
18	日用品メーカー	26
19	旅行会社	25
20	ネット銀行	24

　従来広告収入で成り立っている業界のWebサイトが、多くランクインする結果となりました。これはあくまで私が独断と偏見で選んだ200のWebサイトを1回参照しただけの結果ですので、インターネット全体の状況を反映しているとは言いがたいものがありますが、Web広告の普及度合いを見る上では、参考になるのではないでしょうか。

では、対策はどうすべきか？

　今や、インターネットを利用したビジネスとWeb広告は切っても切れないものになっています。実現可能性はともかく、それぞれの立場で取り得る対策としては、以下のようなものがあるのではないかと考えています。

ユーザー	使用するソフトウエアの最新化 一般的なマルウエア対策の実施 広告サイトへのアクセス遮断
媒体	不正な広告を配信した会社に対するクレーム 広告業界への要請
広告会社	広告主の素性のチェック 提供コンテンツのチェック Web広告業界全体の健全化の取り組み
広告主	広告配信アカウントを乗っ取られない対策（いわゆるマルウエア対策）

　広告サイトへのアクセスを丸ごと止めるというのは、1ユーザーにとっては妥当な対策であるものの、この対策が一般的になったときのインターネット業界全体への影響を考えると、個人的には「正直なところ微妙」という心境です。私自身、＠ITで記事を書かせてもらっていますし、「広告サイトへのアクセスを遮断する」以外の方法で何とかできないかと考えています。

　しかし、ユーザー側でそれしか手段がないのであれば、ユーザーを守るためには「広告サイトへのアクセスを丸ごとブロックすること」を提案する他ないのも事実です。実際、私の周りのセキュリティ対策に敏感な組織ではすでに、プロキシサーバーやコンテンツフィルターを使って、広告会社を丸ごとアクセス禁止にしています。あるユーザーの方との会話では、以下のような話が出てきました。

「川口さん、僕は広告を見るかどうかはユーザー側の問題だから、広告を規制する必要があるとは思わない。でもね、マルウエアは送り込まれたくない。だから私の立場では、『丸ごとシャットアウト』以外の選択肢はないんだよね」

　上でも書きましたが、Malvertisingは1社のWeb広告会社の取り組みだけでどうにかなるような問題ではありません。Web広告業界全体での健全化の取り組みに期待したいところです。

　以上、今回はインターネットのビジネスモデルと密接に絡んでいるWeb広告からのマルウエア感染事例を取り上げました。現在はトレンドマイクロが積極的に広報活動を行っていますが、もっとこの問題を取り上げるセキュリティ関係者が多くなれば、大きな動きが生まれるのではないかと期待しています。そんなわけで、激動の2015年を忘れるため、私は今日も飲みにいくのでした。

著者プロフィール

▼ 川口 洋（かわぐち ひろし）

株式会社ラック

チーフエバンジェリスト

CISSP

ラック入社後、IDSやファイアウォールなどの運用・管理業務を経て、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。チーフエバンジェリストとして、セキュリティオペレーションに関する研究、ITインフラのリスクに関する情報提供、啓発活動を行っている。Black Hat Japan、PacSec、Internet Week、情報セキュリティEXPO、サイバーテロ対策協議会などで講演し、安全なITネットワークの実現を目指して日夜奮闘中。

2010年〜2011年、セキュリティ＆プログラミングキャンプの講師として未来ある若者の指導に当たる。2012年、最高の「守る」技術を持つトップエンジニアを発掘・顕彰する技術競技会「Hardening」のスタッフとしても参加し、ITシステム運用にかかわる全ての人の能力向上のための活動も行っている。

「川口洋のセキュリティ・プライベート・アイズ」バックナンバー

• 「DNS通信」記録していますか？――万一に備えたDNSクエリログの保存方法
• Web広告からのマルウエア感染「Malvertising」にどう対処すべきか
• 中の人が振り返る「Hardening 10 ValueChain」――学びにつながった「トラブルの数々」とは
• 無慈悲な専門家チーム「kuromame6」の暗躍に負けず勝利をつかんだチームは？
• 外部リソースの活用もポイントに、「Hardening 10 MarketPlace」開催
• Hardening Projectから派生した「MINI Hardening Project」に行ってみた！
• 「これさえしておけば助かったのに……」を避けるため、今すぐ確認すべき7項目
• アップデート機能を悪用した攻撃に対抗セヨ！
• 工夫、工夫そして工夫――Hardening 10 APAC“運営”レポート
• ウイルスとは言い切れない“悪意のあるソフトウェア”
• 2013年のセキュリティインシデントを振り返る
• ここが変だよ、そのWeb改ざん対応
• きっかけは不正侵入――私がセキュリティ業界に足を踏み入れたワケ
• CMSが狙われる3つの理由
• FacebookやApple、MSまで……Javaの脆弱性を狙う攻撃の手口
• Hardening One、8時間に渡る戦いの結果は？
• そのときStarBEDが動いた――「Hardening One」の夜明け前
• ロシアでわしも考えた
• 実録、「Hardening Zero」の舞台裏
• ちょっと変わったSQLインジェクション
• 官民連携の情報共有を真面目に考える
• アプリケーションサーバの脆弱性にご注意を
• IPv6、6つの悩み事
• スパムが吹けば薬局がもうかる
• JSOCに飛び込んできた不審なメール――これが標的型攻撃の実態だ
• 東日本大震災、そのときJSOCは
• ペニーオークションのセキュリティを斬る
• 2010年、5つの思い出――Gumblarからキャンプまで
• 9・18事件にみる7つの誤解
• 曇りのち晴れとなるか？ クラウド環境のセキュリティ
• Webを見るだけで――ここまできたiPhoneの脅威
• 不安が残る、アドビの「脆弱性直しました」
• ともだち373人できるかな――インターネットメッセンジャーセキュリティ定点観測
• 実録・4大データベースへの直接攻撃
• Gumblar、いま注目すべきは名前ではなく“事象”
• Gumblarがあぶり出す 「空虚なセキュリティ対策」
• 新春早々の「Gumblar一問一答」
• 実はBlasterやNetsky並み？静かにはびこる“Gumblar”
• ECサイトソフトウェアはなぜ更新されないのか
• 狙われるphpMyAdmin、攻撃のきっかけは？
• 学生の未来に期待する夏
• 米韓へのDoS攻撃に見る、検知と防御の考え方
• 分かっちゃいるけど難しい、アカウント情報盗用ボット対策
• 狙われる甘〜いTomcat
• 表裏一体、あっちのリアルとこっちのサイバー
• 世間の認識と脅威レベルのギャップ――XSSは本当に危ないか？
• 急増したSQLインジェクション、McColo遮断の影響は
• ○×表の真実：「検知できる」ってどういうこと？
• ところで、パッケージアプリのセキュリティは？
• レッツ、登壇――アウトプットのひとつのかたち