それはMcAfeeの「偽アラート」では? 背後には危ない“不正アフィリエイト”モバイルデバイスを狙う「ScamClub」の手口

「偽のMcAfeeのアラート」を悪用した不正広告攻撃が見つかった。報告したセキュリティベンダーは、「攻撃の背後にある悪質なアフィリエイトパートナーをMcAfeeは放置してきた」と指摘する。それは本当なのか。

2024年01月10日 05時00分 公開
[Rob WrightTechTarget]

 セキュリティベンダーMalwarebytesは、2023年11月に公開したブログエントリ(投稿)で、不正広告(マルバタイジング)を利用するアクター(攻撃者)「ScamClub」の活動を報告した。それによると、ScamClubは複数の著名なモバイルデバイス向けニュースサイトにマルウェアを感染させ、セキュリティベンダーMcAfeeのアラートを装った偽の警告を表示させるようにした。具体的にはAP通信(Associated Press)、ESPN、CBSなどのメディアのニュースサイトが被害を受けた。この攻撃キャンペーン(一連の攻撃活動)は、ニュースサイトの訪問者を「McAfeeが提供するマルウェアスキャナー」を偽ったサイトにリダイレクトさせる。

「悪質アフィリエイト」をMcAfeeは放置していた?

 悪質なアフィリエイトを用いる攻撃において、攻撃者は正当な広告主またはマーケティング関連会社になりすます。その後、商業広告ネットワークや配信サービスを使用して悪質な広告を提供したり、悪質なドメインにリダイレクトさせたりする。今回の攻撃キャンペーンでは、「systemmeasures.life」というドメインがホストする偽のMcAfeeマルウェアスキャナーにリダイレクトされるようになっていた。

 ブレア・ストレーター氏は、AP通信のWebサイトでこの攻撃を発見したことを、ソーシャルネットワーキングサービス(SNS)「Mastodon」への投稿で指摘した。ストレーター氏はWebサイトから偽のMcAfeeマルウェアスキャナーにリダイレクトされ、時には本物のMcAfeeのWebサイトに転送されることもあったという。同氏は後続の投稿で、この偽ドメインはMcAfeeのアフィリエイトプログラムの一部として動作している可能性があると推測した。

 このアフィリエイトプログラムは以前にも悪用されていたことを、Malwarebytesは確認済みだ。2023年9月、ソフトウェアエンジニアのジム・ブローニング氏は攻撃を追跡し、偽の購読期限切れ警告を出す別のMcAfee広告を特定した。これに対してMcAfeeの担当者は、ブローニング氏にこう回答した。「われわれはこれらの攻撃活動に関する報告を、お客さまと弊社ブランドの両方に対する脅威として真剣に受け止めており、そのような活動を把握した時点で阻止するよう取り組んでいる。知らせてくれてありがとう」。だがMalwarebytesが報告したのは、アフィリエイトプログラムを悪用した攻撃が「衰えることなく続いている」という事実だ。

 Malwarebytesの脅威インテリジェンス担当シニアディレクターであるジェローム・セグラ氏は、「リダイレクト先のWebサイトのURLにあるIDを通じて、悪用されたアフィリエイトプログラムを識別できた」と説明する。一方でセグラ氏は、2020年9月にMcAfeeのヘルプ用アカウントがSNSの「X」(旧Twitter)に投稿した文章を引用して、「McAfeeはこのアフィリエイトプログラムを通じて数年間悪意的な活動をしてきた」と述べる。「われわれが知る限りでは、このアフィリエイトプログラムはまだ禁止されていない。われわれは過去にも何度か攻撃を報告した」(同氏)

 McAfeeは、「Malwarebytesがブログエントリを公開する前に悪質なアフィリエイトパートナーを削除済みだ」と説明する。加えて「われわれはアフィリエイト詐欺を深刻に受け止めており、アフィリエイトパートナーが当社のポリシー契約に違反した場合、速やかに削除するよう要請する」とも話す。McAfeeによると、今回の場合は2023年11月20日(現地時間)に問題のアフィリエイトパートナーが同社のポリシーに違反していることが判明し、同月21日(現地時間)にアフィリエイトプログラムからの排除が完了した。Malwarebytesが指摘したIDは、McAfee内部での追跡パラメータであり、単一のアフィリエイトパートナーを特定するものではないという。「このため、アフィリエイトパートナーが取り除かれてもIDは残り続ける」とMcAfeeは理由を説明する。

意外と歴史があるScamClub

 少なくとも2018年から、ScamClubは活動を続けている。広告セキュリティベンダーConfiantは同年に、Webブラウザを乗っ取る大規模攻撃キャンペーンにおいて初めてScamClubを観察した。この攻撃キャンペーンはAppleのモバイルOS「iOS」ユーザーを詐欺サイトにリダイレクトさせるものだった。Confiantによると、ScamClubが48時間のうちに乗っ取ったブラウザセッション(エンドユーザーがWebブラウザを開いてから閉じるまでの一連の操作やWebサイト訪問)は約3億件だ。

 今回Malwarebytesが発見した攻撃キャンペーンで悪用されていたsystemmeasures.lifeドメインは、以前ScamClubが使用していた悪質なドメインと接続していたことを、同社の研究者は突き止めた。ScamClubが攻撃を検出されないようにするために、プログラムの難読化技術をどのように活用しているのかも解き明かした。

 Malwarebytesの研究者が注目したのは、ScamClubが用いたプログラムのホスト元が、以前は「Google Cloud Platform」であったのが、「Microsoft Azure」のCDN(コンテンツデリバリーネットワーク)に移動されたことだ。研究者はScamClubがリアルタイム入札(RTB:Real-Time Bidding)を通じて、少なくとも16件の異なるデジタル広告取引所を悪用したことを発見した。RTBは、広告枠が読み込まれる瞬間に広告主が広告枠に入札をし、最高額を提示した広告主の広告が広告枠に表示される仕組みを指す。

 ブログエントリによると、Malwarebytesが提供するモバイルデバイス向けセキュリティツールのうち、モバイルOS「Android」用は、今回見つかった攻撃キャンペーンからエンドユーザーを保護する。一方でiOS用は保護が十分ではない可能性があるという。「ScamClubは、モバイル向けWebサイトやWebブラウザを標的にした良い例だ」とブログエントリは解説する。

 理由としてブログエントリが指摘するのは、エンドユーザーはモバイルデバイスのセキュリティ対策を後回しにしがちである点だ。「モバイルデバイスを対象とした不正広告は明らかに盛んであり、モバイルデバイスユーザーが詐欺に遭ったりマルウェアをダウンロードしたりする可能性も高まっている」とブログエントリは説明する。特にiOSの場合、エンドユーザーはセキュリティ対策を後回しにしがちだと言える。サードパーティー製セキュリティソフトウェアがiOS搭載デバイスを完全に制御することをAppleが許可しておらず、セキュリティ対策の選択肢が限られるためだ。

 「これはApple製品に組み込まれている保護策の一環であり、エンドユーザーの安全保護に役立つ。一方でサードパーティー製品は利用できない。いわば『壁付きの庭園』のようなものだ」(セグラ氏)

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

譁ー逹€繝帙Ρ繧、繝医�繝シ繝代�

製品資料 チェック・ポイント・ソフトウェア・テクノロジーズ株式会社

クラウドメール環境を守る、セキュリティベンダー選定で知っておきたい22の要件

クラウドメール環境への移行を機に、従来型セキュアメールゲートウェイベンダーからのリプレースを検討する組織は多い。そうした組織向けに、クラウドメール環境に特化したセキュリティベンダー選定に際し、求めるべき22の要件を紹介する。

製品資料 フォーティネットジャパン合同会社

クラウドに必要な「データドリブンなセキュリティ」を実現する方法とは?

クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。

製品資料 TIS株式会社

Web攻撃総数の2割以上が狙うAPI、適切な管理とセキュリティ対策を行うには?

ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。

製品資料 Okta Japan株式会社

アイデンティティー管理/保護の注目手法、「IGA」とは何か?

ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。

製品資料 株式会社エーアイセキュリティラボ

AIで人材不足を解消、セキュリティ担当者のためのDXガイド

DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

繧「繧ッ繧サ繧ケ繝ゥ繝ウ繧ュ繝ウ繧ー

2025/05/08 UPDATE

  1. 菫。鬆シ縺励※縺�◆Web繧オ繧、繝医′縺セ縺輔°縺ョ諢滓沒貅撰シ溘€€縲梧ーエ鬟イ縺ソ蝣エ蝙区判謦�€阪�謇句哨縺ィ縺ッ
  2. 縺ゅ�豎コ貂域婿豕輔�縲後け繝ャ繧ォ諠��ア豬∝�縲阪′襍キ縺阪d縺吶>�溘€€螳牙�縺ェ譁ケ豕輔�
  3. 莠育ョ励d莠コ謇倶ク崎カウ縺ァ繧りォヲ繧√↑縺�€窟I繝ェ繧ケ繧ッ邂。逅�€阪€€2螟ァ繝輔Ξ繝シ繝�繝ッ繝シ繧ッ縺ョ豢サ逕ィ豕輔���
  4. 譌・譛ャ縺ァ繧ょッセ遲悶′驕�l繧九€後≠縺ョ萓オ蜈・邨瑚キッ縲阪′諤・蠅冷€補€墓判謦�げ繝ォ繝シ繝励�豢サ蜍募ョ滓�
  5. 縲瑚コォ莉」驥代r謾ッ謇輔≧縲堺サ・螟悶�繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「蟇セ遲悶�譛ャ蠖薙↓縺ゅk縺ョ縺具シ�
  6. 5遞ョ鬘槭�繝輔ぃ繧、繧「繧ヲ繧ゥ繝シ繝ォ縺ョ驕輔>繧定ァ」隱ャ縲€縺ソ繧薙↑驕輔▲縺ヲ縺ソ繧薙↑濶ッ縺�シ�
  7. Android繧ケ繝槭�縺檎、コ縺�7縺、縺ョ窶懷些髯コ縺ェ蜈�€吮€昴→縺ッ�溘€€莉翫☆縺舌d繧九∋縺阪�繝ォ繧ヲ繧ァ繧「蟇セ遲�
  8. 繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「髮�屮Black Basta縺ョ莨夊ゥア縺梧オ∝�縲€譏弱i縺九↓縺ェ縺」縺滓判謦�€��窶懈悽髻ウ窶�
  9. 繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「謾サ謦�r蜿励¢縺ヲ繧ゅ€瑚コォ莉」驥代r謾ッ謇輔o縺ェ縺上↑縺」縺溘€阪�縺ッ縺ェ縺懊°
  10. 縲後そ繧ュ繝・繝ェ繝�ぅ繧ィ繝ウ繧ク繝九い縲阪→縺励※縺ョ驕薙′髢九¢繧九が繝ウ繝ゥ繧、繝ウ隰帛コァ7驕ク

ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。