2014年6月19日未明よりニコニコ動画や2ちゃんねるまとめサイトで確認されていた偽Flash Playerの更新サイトへ誘導される事象に関する情報をまとめます。尚、この問題が確認された当初Yahoo!JapanのYahoo!プロモーション広告が原因であると騒がれていましたが、MicroAd社の広告配信サービスを経由して米国から行われた広告配信が原因であったことが同社の発表から明らかになりました。
(2) 被害状況
- MicroAdの広告配信サービス「MicroAd AdFunnel」を使用しているWebサイトにおいて、Flash Playerの更新を偽装した悪性なソフトウェアの配布が行われた可能性がある。
- MicroAd AdFunnelとは?
- 利用実績として紹介されているWebサイトでの被害は確認されていない模様。*1
(3) 発端
- MicroAdのサービスを利用するWebサイトにおいて偽FlashPlayerの配布を行っているサイトへリダイレクトが行われたことによる。
- Twitter上でリダイレクトされることをツイートしている人が出始めるのは6月19日0時10分頃から。
- 直接の原因である広告サービスは米国Yahoo!の「Yahoo!AdExchange」
(4) 原因
(5) 対応・対策
MicroAd
- 米Yahoo!の広告配信を停止
- 悪性サイトへの誘導が行われたことを発表
- 提携事業者と協議の上、徹底調査と対応を検討
ドワンゴ
- MicroAdへ当該事象に関する連絡
- 当該事象発生に該当する広告配信ネットワークの通信を遮断
- MicroAd広告配信経由で悪性サイトへ誘導が行われたことを発表
(6) タイムライン
日時 | 出来事 |
---|---|
6月19日 0時頃 | ニコニコ動画や2ちゃんねるまとめサイトでFlash Playerの偽更新サイトへリダイレクトされると報告があがる |
6月19日 8時頃 | この時間までYahoo!AdExchangeでの広告配信が行われていた。 |
6月19日 10時 | MicroAdが米国広告配信事業者の配信を停止措置を実施 |
6月19日 正午頃 | ドワンゴが広告配信ネットワークの通信遮断を実施 |
6月19日 23時半頃 | MicroAdが同社広告配信サービス経由で悪性サイトの誘導が行われたことを発表 |
6月19日 23時半頃 | ドワンゴがniconicoサービスでMicroAd広告配信経由で悪性サイトへの誘導が行われたことを発表 |
6月20日 | MicroAdが発生原因や時間などの続報を発表 |
(7) 誘導される悪性サイトについて
以下はpiyokangoの閲覧時点での情報です。変化している可能性もあります。
偽更新サイトの挙動
- 偽更新サイト接続時にJavaScriptのAlertで「このページは表示できません!Flash Playerの最新バージョンへのアップデート!」と表示される。
- 偽更新サイトに接続すると「Setup.exe」のダウンロードが開始される。
- ドライブバイダウンロードではないため、ダウンロードした実行ファイルが勝手に実行されることはない。
- 悪性サイトに誘導され「Setup.exe」ダウンロードしてしまっても削除すればよい。
- ダウンロード時に変数を使っており、ほぼ毎回検体「Setup.exe」のハッシュが異なる。
- cookieを使って2回目以降アクセスしても悪性サイトへのリダイレクトは行われない仕組みとなっていた模様。
偽Flash Player「Setup.exe」に関する情報
- 解析記事
- サンプルの動的解析レポート
無題な濃いログでプログラムの一覧から確認されているPUA
- MyPC Backup
- VO Package
- VLC media player 2.0.5
- Search Protect
- RegClean Pro
- HQ-V1.4
- Buzz-it
- Advanced System Protector
検体名「OutBrowse」について
ニコニコ動画で偽FlashPlayerサイトへ誘導される件、OutBrowse http://t.co/pV3MnDEN0cのadwareがダウンロードされる模様。マルウェアではないが、様々PUAをインストールする。同アプリは悪いか悪くないかは言わないが、配布する奴は悪徳業者
— . (@JojiHamada) 2014, 6月 19
- Setup.exeの電子署名もOutBrowseで署名されている。
接続先に関する情報
今回の偽Flash Player拡散に関連する接続先でpiyokangoが確認しているドメインは次の通り。
ドメイン | 概要 |
---|---|
adf.send.microad.jp | 発端となったMicroAdの広告配信ネットワークのドメイン |
ads.yahoo.com | MicroAdが米国配信事業者と表現していると推測されるドメイン 6月19日0時以降〜10時の間に当該URLにアクセスしていた場合、偽Flash Player更新サイトへ誘導された可能性がある。 |
huanqiutrack.com | ads.yahoo.comからホップされるWebサイト |
downloads.cnmup.biz | Flash Playerの更新を装った偽サイトのドメイン。 6月20日1時現在、404となっている。 |
downloads.wapck.biz | Flash Playerの更新を装った偽サイトのドメイン。 6月20日1時現在稼働中となっている。 |
mpdotrk.com | 偽更新ファイル「Setup.exe」が落ちてくるドメイン 画像やJSファイルも配置されている。 |
installer.apps-track.com | 偽更新ファイル実行後にアクセスするドメイン |
cdn.download4desktop.com | 偽更新ファイル実行後にアクセスするドメイン |
offerscreen.apps-tracks.com | 偽更新ファイル実行後にアクセスするドメイン |
static.revenyou.com | 偽更新ファイル実行後にアクセスするドメイン |
Sophosの解析レポートによればさらに次のドメインに偽更新ファイル実行後アクセスが行われる場合がある。
ドメイン | 概要 |
---|---|
ajax.googleapis.com | 偽更新ファイル実行後にアクセスするドメイン |
product.mobogenie.com | 偽更新ファイル実行後にアクセスするドメイン |
upload.mobogenie.com | 偽更新ファイル実行後にアクセスするドメイン |
更新履歴
- 2014/06/20 AM 新規作成
- 2014/06/20 PM 最新情報を追加。
- 2014/06/23 PM ドワンゴの公開情報更新(広告配信件数)を反映
*1:ニコニコ動画の広告からマルウェア感染--原因はマイクロアドと米ヤフー,CNET Japan,2014/06/22アクセス:魚拓