それはMcAfeeの「偽アラート」では？ 背後には危ない“不正アフィリエイト”：モバイルデバイスを狙う「ScamClub」の手口

「偽のMcAfeeのアラート」を悪用した不正広告攻撃が見つかった。報告したセキュリティベンダーは、「攻撃の背後にある悪質なアフィリエイトパートナーをMcAfeeは放置してきた」と指摘する。それは本当なのか。

[Rob Wright，TechTarget]

　セキュリティベンダーMalwarebytesは、2023年11月に公開したブログエントリ（投稿）で、不正広告（マルバタイジング）を利用するアクター（攻撃者）「ScamClub」の活動を報告した。それによると、ScamClubは複数の著名なモバイルデバイス向けニュースサイトにマルウェアを感染させ、セキュリティベンダーMcAfeeのアラートを装った偽の警告を表示させるようにした。具体的にはAP通信（Associated Press）、ESPN、CBSなどのメディアのニュースサイトが被害を受けた。この攻撃キャンペーン（一連の攻撃活動）は、ニュースサイトの訪問者を「McAfeeが提供するマルウェアスキャナー」を偽ったサイトにリダイレクトさせる。

「悪質アフィリエイト」をMcAfeeは放置していた？

併せて読みたいお薦め記事

モバイルデバイスで気を付けるべき脅威

• そのiPhoneは監視されていた――Googleが語る「スパイウェア」の背筋が凍る実態
• 「Android」を“危険なOS”にする主な脅威とセキュリティ対策の情報源まとめ

　悪質なアフィリエイトを用いる攻撃において、攻撃者は正当な広告主またはマーケティング関連会社になりすます。その後、商業広告ネットワークや配信サービスを使用して悪質な広告を提供したり、悪質なドメインにリダイレクトさせたりする。今回の攻撃キャンペーンでは、「systemmeasures.life」というドメインがホストする偽のMcAfeeマルウェアスキャナーにリダイレクトされるようになっていた。

　ブレア・ストレーター氏は、AP通信のWebサイトでこの攻撃を発見したことを、ソーシャルネットワーキングサービス（SNS）「Mastodon」への投稿で指摘した。ストレーター氏はWebサイトから偽のMcAfeeマルウェアスキャナーにリダイレクトされ、時には本物のMcAfeeのWebサイトに転送されることもあったという。同氏は後続の投稿で、この偽ドメインはMcAfeeのアフィリエイトプログラムの一部として動作している可能性があると推測した。

　このアフィリエイトプログラムは以前にも悪用されていたことを、Malwarebytesは確認済みだ。2023年9月、ソフトウェアエンジニアのジム・ブローニング氏は攻撃を追跡し、偽の購読期限切れ警告を出す別のMcAfee広告を特定した。これに対してMcAfeeの担当者は、ブローニング氏にこう回答した。「われわれはこれらの攻撃活動に関する報告を、お客さまと弊社ブランドの両方に対する脅威として真剣に受け止めており、そのような活動を把握した時点で阻止するよう取り組んでいる。知らせてくれてありがとう」。だがMalwarebytesが報告したのは、アフィリエイトプログラムを悪用した攻撃が「衰えることなく続いている」という事実だ。

　Malwarebytesの脅威インテリジェンス担当シニアディレクターであるジェローム・セグラ氏は、「リダイレクト先のWebサイトのURLにあるIDを通じて、悪用されたアフィリエイトプログラムを識別できた」と説明する。一方でセグラ氏は、2020年9月にMcAfeeのヘルプ用アカウントがSNSの「X」（旧Twitter）に投稿した文章を引用して、「McAfeeはこのアフィリエイトプログラムを通じて数年間悪意的な活動をしてきた」と述べる。「われわれが知る限りでは、このアフィリエイトプログラムはまだ禁止されていない。われわれは過去にも何度か攻撃を報告した」（同氏）

　McAfeeは、「Malwarebytesがブログエントリを公開する前に悪質なアフィリエイトパートナーを削除済みだ」と説明する。加えて「われわれはアフィリエイト詐欺を深刻に受け止めており、アフィリエイトパートナーが当社のポリシー契約に違反した場合、速やかに削除するよう要請する」とも話す。McAfeeによると、今回の場合は2023年11月20日（現地時間）に問題のアフィリエイトパートナーが同社のポリシーに違反していることが判明し、同月21日（現地時間）にアフィリエイトプログラムからの排除が完了した。Malwarebytesが指摘したIDは、McAfee内部での追跡パラメータであり、単一のアフィリエイトパートナーを特定するものではないという。「このため、アフィリエイトパートナーが取り除かれてもIDは残り続ける」とMcAfeeは理由を説明する。

意外と歴史があるScamClub

　少なくとも2018年から、ScamClubは活動を続けている。広告セキュリティベンダーConfiantは同年に、Webブラウザを乗っ取る大規模攻撃キャンペーンにおいて初めてScamClubを観察した。この攻撃キャンペーンはAppleのモバイルOS「iOS」ユーザーを詐欺サイトにリダイレクトさせるものだった。Confiantによると、ScamClubが48時間のうちに乗っ取ったブラウザセッション（エンドユーザーがWebブラウザを開いてから閉じるまでの一連の操作やWebサイト訪問）は約3億件だ。

　今回Malwarebytesが発見した攻撃キャンペーンで悪用されていたsystemmeasures.lifeドメインは、以前ScamClubが使用していた悪質なドメインと接続していたことを、同社の研究者は突き止めた。ScamClubが攻撃を検出されないようにするために、プログラムの難読化技術をどのように活用しているのかも解き明かした。

　Malwarebytesの研究者が注目したのは、ScamClubが用いたプログラムのホスト元が、以前は「Google Cloud Platform」であったのが、「Microsoft Azure」のCDN（コンテンツデリバリーネットワーク）に移動されたことだ。研究者はScamClubがリアルタイム入札（RTB：Real-Time Bidding）を通じて、少なくとも16件の異なるデジタル広告取引所を悪用したことを発見した。RTBは、広告枠が読み込まれる瞬間に広告主が広告枠に入札をし、最高額を提示した広告主の広告が広告枠に表示される仕組みを指す。

　ブログエントリによると、Malwarebytesが提供するモバイルデバイス向けセキュリティツールのうち、モバイルOS「Android」用は、今回見つかった攻撃キャンペーンからエンドユーザーを保護する。一方でiOS用は保護が十分ではない可能性があるという。「ScamClubは、モバイル向けWebサイトやWebブラウザを標的にした良い例だ」とブログエントリは解説する。

　理由としてブログエントリが指摘するのは、エンドユーザーはモバイルデバイスのセキュリティ対策を後回しにしがちである点だ。「モバイルデバイスを対象とした不正広告は明らかに盛んであり、モバイルデバイスユーザーが詐欺に遭ったりマルウェアをダウンロードしたりする可能性も高まっている」とブログエントリは説明する。特にiOSの場合、エンドユーザーはセキュリティ対策を後回しにしがちだと言える。サードパーティー製セキュリティソフトウェアがiOS搭載デバイスを完全に制御することをAppleが許可しておらず、セキュリティ対策の選択肢が限られるためだ。

　「これはApple製品に組み込まれている保護策の一環であり、エンドユーザーの安全保護に役立つ。一方でサードパーティー製品は利用できない。いわば『壁付きの庭園』のようなものだ」（セグラ氏）

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。