piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

マイクロアド社の広告配信ネットワークを通じて偽Flash Player更新サイトへ誘導された件をまとめてみた。

2014年6月19日未明よりニコニコ動画2ちゃんねるまとめサイトで確認されていた偽Flash Playerの更新サイトへ誘導される事象に関する情報をまとめます。尚、この問題が確認された当初Yahoo!JapanのYahoo!プロモーション広告が原因であると騒がれていましたが、MicroAd社の広告配信サービスを経由して米国から行われた広告配信が原因であったことが同社の発表から明らかになりました。

(2) 被害状況

  • MicroAdの広告配信サービス「MicroAd AdFunnel」を使用しているWebサイトにおいて、Flash Playerの更新を偽装した悪性なソフトウェアの配布が行われた可能性がある。
ドワンゴから配信された件数
  • niconicoサーバーからマイクロアドの広告が配信された件数 233,518件
    • 6月18日9時〜6月19日11時の期間に広告が表示された件数。
    • 当該件数には無害な広告も含まれる。
    • 影響を及ぼした具体的な件数はマイクロアドが調査中。

(3) 発端

  • MicroAdのサービスを利用するWebサイトにおいて偽FlashPlayerの配布を行っているサイトへリダイレクトが行われたことによる。
    • Twitter上でリダイレクトされることをツイートしている人が出始めるのは6月19日0時10分頃から。
    • 直接の原因である広告サービスは米国Yahoo!の「Yahoo!AdExchange

(4) 原因

  • MicroAdの広告配信サービスを経由して米Yahoo!の「Yahoo! AdExchange」から広告配信されたコンテンツにおいて当該悪性サイトへリダイレクトが行われるようになっていたため。

(5) 対応・対策

MicroAd
  • Yahoo!の広告配信を停止
  • 悪性サイトへの誘導が行われたことを発表
  • 提携事業者と協議の上、徹底調査と対応を検討
ドワンゴ
  • MicroAdへ当該事象に関する連絡
  • 当該事象発生に該当する広告配信ネットワークの通信を遮断
  • MicroAd広告配信経由で悪性サイトへ誘導が行われたことを発表

(6) タイムライン

日時 出来事
6月19日 0時頃 ニコニコ動画2ちゃんねるまとめサイトFlash Playerの偽更新サイトへリダイレクトされると報告があがる
6月19日 8時頃 この時間までYahoo!AdExchangeでの広告配信が行われていた。
6月19日 10時 MicroAdが米国広告配信事業者の配信を停止措置を実施
6月19日 正午頃 ドワンゴが広告配信ネットワークの通信遮断を実施
6月19日 23時半頃 MicroAdが同社広告配信サービス経由で悪性サイトの誘導が行われたことを発表
6月19日 23時半頃 ドワンゴniconicoサービスでMicroAd広告配信経由で悪性サイトへの誘導が行われたことを発表
6月20日 MicroAdが発生原因や時間などの続報を発表

(7) 誘導される悪性サイトについて

以下はpiyokangoの閲覧時点での情報です。変化している可能性もあります。

偽更新サイトの挙動

  • 偽更新サイト接続時にJavaScriptのAlertで「このページは表示できません!Flash Playerの最新バージョンへのアップデート!」と表示される。
  • 偽更新サイトに接続すると「Setup.exe」のダウンロードが開始される。
  • ドライブバイダウンロードではないため、ダウンロードした実行ファイルが勝手に実行されることはない。
  • 悪性サイトに誘導され「Setup.exe」ダウンロードしてしまっても削除すればよい。
  • ダウンロード時に変数を使っており、ほぼ毎回検体「Setup.exe」のハッシュが異なる。
  • cookieを使って2回目以降アクセスしても悪性サイトへのリダイレクトは行われない仕組みとなっていた模様。
LNMPで構成されている模様
  • 以下の様な画面が表示された。


  • phpinfoが動いている。



検体名「OutBrowse」について

  • Setup.exeの電子署名もOutBrowseで署名されている。


接続先に関する情報

今回の偽Flash Player拡散に関連する接続先でpiyokangoが確認しているドメインは次の通り。

ドメイン 概要
adf.send.microad.jp 発端となったMicroAdの広告配信ネットワークのドメイン
ads.yahoo.com MicroAdが米国配信事業者と表現していると推測されるドメイン
6月19日0時以降〜10時の間に当該URLにアクセスしていた場合、偽Flash Player更新サイトへ誘導された可能性がある。
huanqiutrack.com ads.yahoo.comからホップされるWebサイト
downloads.cnmup.biz Flash Playerの更新を装った偽サイトのドメイン
6月20日1時現在、404となっている。
downloads.wapck.biz Flash Playerの更新を装った偽サイトのドメイン
6月20日1時現在稼働中となっている。
mpdotrk.com 偽更新ファイル「Setup.exe」が落ちてくるドメイン
画像やJSファイルも配置されている。
installer.apps-track.com 偽更新ファイル実行後にアクセスするドメイン
cdn.download4desktop.com 偽更新ファイル実行後にアクセスするドメイン
offerscreen.apps-tracks.com 偽更新ファイル実行後にアクセスするドメイン
static.revenyou.com 偽更新ファイル実行後にアクセスするドメイン

Sophosの解析レポートによればさらに次のドメインに偽更新ファイル実行後アクセスが行われる場合がある。

ドメイン 概要
ajax.googleapis.com 偽更新ファイル実行後にアクセスするドメイン
product.mobogenie.com 偽更新ファイル実行後にアクセスするドメイン
upload.mobogenie.com 偽更新ファイル実行後にアクセスするドメイン

更新履歴

  • 2014/06/20 AM 新規作成
  • 2014/06/20 PM 最新情報を追加。
  • 2014/06/23 PM ドワンゴの公開情報更新(広告配信件数)を反映