毎日新聞のニュースサイトなどに広告を配信しているマイクロアド(本社:東京都渋谷区)の広告配信サーバーが24日夜、不正アクセスを受けて改ざんされ、一部のデータに攻撃サイトへと誘導する不正なリンクが埋め込まれた。多くの配信先がこの影響を受け、配信広告が掲載されたページを閲覧したユーザーが偽セキュリティソフトに感染する被害が続出している。
マイクロアドの発表では、広告配信サーバーが改ざんされていたのは、24日午後9時半頃から25日午前1時過ぎまでとのこと。この間に配信先のサイトで改ざんされた広告が表示されると、埋め込まれたリンク先を経てボスニア・ヘルツェゴビナに設置された攻撃サーバーへと誘導される。誘導といっても、閲覧しているページの中の1×1ドットの小さなフレーム内で自動的に行われることなので、ユーザーは気付かないうちに攻撃サイトにアクセスしてしまう。
編集部が25日昼頃に行った調査では、攻撃サイトには「Phoenix Exploit's Kit」という攻撃ツールが設置されていた。改ざん時に実際にどのような攻撃が行われたかは分からないが、この攻撃ツールはこれまで、Adobe Reader、Adobe Flash 、JRE(Java Runtime Environment)、Internet Explorer、MDAC(Data Access Components)、SnapShot Viewerといった定番の脆弱性を悪用した実績がある。これらソフトウェアのいずれかが未更新の古いバージョンだった場合には、「Security Tool」という偽セキュリティソフトのインストーラー「update.exe」が自動的にダウンロード・実行される。
Security Toolは、ウイルススキャンのふりをしてウイルスが検出したように見せかけ、駆除を名目に購入を迫る詐欺ソフト。インストールされると、「数桁のランダムな数字.exe」というファイル名の本体が生成され、システム起動時に自動実行するようにレジストリに登録される。
改ざんされた広告の配信先について、現時点ではマイクロアドからの公表はないが、すでに後掲記事(「改ざん告知サイト」一覧)のような多数のサイトで、影響があったことが明らかになっている。
(2010/09/28 ネットセキュリティニュース)
■マイクロアドのリリース
・弊社サービスの改ざんに関するお詫びとご報告
http://www.microad.jp/press/20100925/
・弊社サービスの改ざんに関する現状報告と今後の対策について
http://www.microad.jp/press/20100927/