ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2014-06-19

マイクロアド社の広告配信ネットワークを通じて偽Flash Player更新サイトへ誘導された件をまとめてみた。

| 01:34 |  マイクロアド社の広告配信ネットワークを通じて偽Flash Player更新サイトへ誘導された件をまとめてみた。を含むブックマーク

2014年6月19日未明よりニコニコ動画や2ちゃんねるまとめサイトで確認されていた偽Flash Playerの更新サイトへ誘導される事象に関する情報をまとめます。尚、この問題が確認された当初Yahoo!JapanYahoo!プロモーション広告が原因であると騒がれていましたが、MicroAd社の広告配信サービスを経由して米国から行われた広告配信が原因であったことが同社の発表から明らかになりました。

(1) 公式発表

MicroAd
ドワンゴ

(2) 被害状況

ドワンゴから配信された件数
  • niconicoサーバーからマイクロアドの広告が配信された件数 233,518件
    • 6月18日9時〜6月19日11時の期間に広告が表示された件数。
    • 当該件数には無害な広告も含まれる。
    • 影響を及ぼした具体的な件数はマイクロアドが調査中。

(3) 発端

経緯

発見者によるまとめ記事

(4) 原因

  • MicroAdの広告配信サービスを経由して米Yahoo!の「Yahoo! AdExchange」から広告配信されたコンテンツにおいて当該悪性サイトへリダイレクトが行われるようになっていたため。

(5) 対応・対策

MicroAd
  • Yahoo!の広告配信を停止
  • 悪性サイトへの誘導が行われたことを発表
  • 提携事業者と協議の上、徹底調査と対応を検討
ドワンゴ
  • MicroAdへ当該事象に関する連絡
  • 当該事象発生に該当する広告配信ネットワークの通信を遮断
  • MicroAd広告配信経由で悪性サイトへ誘導が行われたことを発表

(6) タイムライン

日時出来事
6月19日 0時頃ニコニコ動画や2ちゃんねるまとめサイトでFlash Playerの偽更新サイトへリダイレクトされると報告があがる
6月19日 8時頃この時間までYahoo!AdExchangeでの広告配信が行われていた。
6月19日 10時MicroAdが米国広告配信事業者の配信を停止措置を実施
6月19日 正午頃ドワンゴが広告配信ネットワークの通信遮断を実施
6月19日 23時半頃MicroAdが同社広告配信サービス経由で悪性サイトの誘導が行われたことを発表
6月19日 23時半頃ドワンゴniconicoサービスでMicroAd広告配信経由で悪性サイトへの誘導が行われたことを発表
6月20日MicroAdが発生原因や時間などの続報を発表

(7) 誘導される悪性サイトについて

以下はpiyokangoの閲覧時点での情報です。変化している可能性もあります。

偽更新サイトの挙動

f:id:Kango:20140620012412p:image:w640

LNMPで構成されている模様
  • 以下の様な画面が表示された。

f:id:Kango:20140620013814p:image:w640

  • phpinfoが動いている。

f:id:Kango:20140620013815p:image

f:id:Kango:20140620013816p:image

Flash Player「Setup.exe」に関する情報

無題な濃いログでプログラムの一覧から確認されているPUA
  • MyPC Backup
  • VO Package
  • VLC media player 2.0.5
  • Search Protect
  • RegClean Pro
  • HQ-V1.4
  • Buzz-it
  • Advanced System Protector

検体名「OutBrowse」について

f:id:Kango:20140620012411p:image

接続先に関する情報

今回の偽Flash Player拡散に関連する接続先でpiyokangoが確認しているドメインは次の通り。

ドメイン概要
adf.send.microad.jp発端となったMicroAdの広告配信ネットワークドメイン
ads.yahoo.comMicroAdが米国配信事業者と表現していると推測されるドメイン
6月19日0時以降〜10時の間に当該URLにアクセスしていた場合、偽Flash Player更新サイトへ誘導された可能性がある。
huanqiutrack.comads.yahoo.comからホップされるWebサイト
downloads.cnmup.bizFlash Playerの更新を装った偽サイトのドメイン
6月20日1時現在、404となっている。
downloads.wapck.bizFlash Playerの更新を装った偽サイトのドメイン
6月20日1時現在稼働中となっている。
mpdotrk.com偽更新ファイル「Setup.exe」が落ちてくるドメイン
画像やJSファイルも配置されている。
installer.apps-track.com偽更新ファイル実行後にアクセスするドメイン
cdn.download4desktop.com偽更新ファイル実行後にアクセスするドメイン
offerscreen.apps-tracks.com偽更新ファイル実行後にアクセスするドメイン
static.revenyou.com偽更新ファイル実行後にアクセスするドメイン

Sophosの解析レポートによればさらに次のドメインに偽更新ファイル実行後アクセスが行われる場合がある。

ドメイン概要
ajax.googleapis.com偽更新ファイル実行後にアクセスするドメイン
product.mobogenie.com偽更新ファイル実行後にアクセスするドメイン
upload.mobogenie.com偽更新ファイル実行後にアクセスするドメイン

更新履歴

  • 2014/06/20 AM 新規作成
  • 2014/06/20 PM 最新情報を追加。
  • 2014/06/23 PM ドワンゴの公開情報更新(広告配信件数)を反映