コラム
» 2008年08月28日 12時11分 UPDATE

GoogleはなぜAdwordsのマルウェア広告を止められないのか

不審なリンクについてと同様に、Googleの広告についても警戒する必要がある。当然ながら、Google自体にも油断は禁物だ。

[Larry Seltzer,eWEEK]
eWEEK

 この1〜2週間、Googleのネットワークで悪意あるソフトの広告が膨大に配信されている。どうしてGoogleは止められないのか。

 セキュリティに関しては技術的な要素が重要視されているが、マルウェアが拡散する要因の最たるものはソーシャルエンジニアリングであり、脆弱性や設計のまずさではない。今、猛威を振るっているマルウェアは、ソーシャルエンジニアリングや大々的なマーケティングキャンペーンを使ったものの典型例だ。

 既に皆さんも、「Antivirus XP 2008」などといった名前のプログラムの広告を見たことがあるはずだ。実のところこれらは、基本的に同じ攻撃を、さまざまな新しいプログラム名を掲げて行っているものだ。そのプログラムはごく一般的な意味では、悪意があるものではない。自身をほかのシステムにこっそりばらまいたり、パスワードを盗んだりといったことはしない。このプログラムは、セキュリティプログラムと称されている。攻撃の手口としては、広告で、「このプログラムがシステムをスキャンした結果、多数の脅威が見つかった」と虚偽の報告を行い、正規ライセンス(49.95ドル)を購入すれば、それらを除去できると宣伝したり、ユーザーのマシンに勝手にインストールされたこのプログラムが、同様の虚偽報告と宣伝を行ったりする。

 スパムでこの手のプログラムが宣伝されている。また、昨年末には相次いで広告ネットワークが悪用され、このプログラムと同様の、あるいはその亜種とみられる攻撃が行われた。Sunbelt Softwareによると、最近最も使われている攻撃の手段は、アフィリエイトベースのマルウェアサイトだ。こうしたサイトでユーザーがビデオコーデックなど、何かをダウンロードしようとしてクリックすると、偽セキュリティプログラムなどを含むさまざまなマルウェアを仕込まれてしまう。

 しかし、こうした脅威が拡散する経路として最も興味深いのは、広告だ。中でも悪名高いのがGoogleのスポンサーリンクだ。

 Googleのスポンサーリンクを通じたマルウェア広告の掲載は、しばらく前から続いており、Googleは歯止めを掛けられないでいるようだ。攻撃者が幅広い商品名やドメイン名を使っているのは確かだ。脅威に関連する新しいドメインやIPアドレスの報告(例えばこれこれ)は後を絶たない。しかし、Googleがそれらだけを基準にして、AdWordsやAdSenseのサービスからその種の商品広告を排除しようとしているのであれば、攻撃者にとって対抗するのは簡単ということになる。

 そこで問題となるのは、Googleが、そうした商品広告に対してどのような対策を取っているかだ。あるいは同社は、対策をなおざりにしているという最悪のパターンなのか。

 「AdSense Terms and Conditions(AdSense利用規約)」のページには、「使用の禁止」に関する条項がある。一方、わたしが調べた限りでは、「AdWords Terms and Conditions(AdWords利用規約)」のページには何も表示されない。いずれにしても、これは規約にすぎない。Googleが、出稿された広告にかかわるサイトを実際にチェックしているのか、事後的なチェックの方法を持っているのか、そのチェック時期に関するポリシーを定めているのかは示されていない。

 わたしはこの件に加え、AdWordsやAdSenseによる悪意あるサイトの広告という一般的な問題について、Googleに問い合わせた。Googleの広報担当者はこう回答した。「Googleは、Googleの広告ネットワークや検索結果を利用してマルウェアを配布するサイトの発見と根絶に積極的に取り組んでいる。そのためのマニュアルと自動プロセスも整備している。われわれは、ユーザーを悪意あるサイトにリダイレクトする広告を表示する顧客や、われわれのソフトウェア原則に違反する製品を宣伝する顧客との広告契約を解消している。われわれの一般的なソフトウェア原則については、ここをチェックしていただきたい」

 また、Googleが悪意あるサイトに関する外部機関の報告サービス(Grisoftの「AVG LinkScanner」のような)を利用しているのは確実とみられる。このことも付け加えておこう。しかし、同社の取り組みには受け身の印象を受ける。マルウェアサイトが首尾よく目的を果たしてしまうのは間違いない。これらのサイトは発覚する前に、人々をおびき寄せてクリックさせるという仕掛けを成功させているはずだ。また、AdSenseやAdwordsで新しいアカウントを登録し直すのは、大変なことではない。本当はクリック収入に興味がないのであればなおさらだ。

 Googleは状況の改善を図っており、そうすることが彼らの利益になるのは確かだ。Googleは、次のような説明を付け加えた。

 「われわれは、危険な可能性があるサイトのインデックスを探索する自動システムを多数運用している。マルウェアの配布手段と思われるものにはラベルを付けるようにしている。ユーザーがGoogleで検索して、われわれがフラグを付けたリンクをクリックすると、検索結果ページからそのページに進む前に、警告ページが表示されるようになっている。われわれは、マルウェアを直接配布するサイトや、悪意あるコンテンツに誘導する広告を含むサイトにフラグを付けている。われわれがブラックリストに含めているURLの一部は広告だ。なお、ブラウザが広告などを含め、ページ上のすべてのリソースをわれわれのマルウェアブラックリストに照らしてチェックするとは限らない。これは重要な注意点だ。われわれとしては、日常業務の一環として、Web上の悪意あるコンテンツをより広くカバーしようと常に取り組んでいる」

 以前、Googleのページに表示される広告リンクと「純粋な」リンクをユーザーが区別できるかどうかをめぐって、大論争があったことを覚えている。いまだに多くの人が見分けられていないのは確かだと思う。また、見分けられる人の一部は、「Googleが『スポンサーリンク』を区分しているということは、Googleが検索結果や広告の表示に当たって何らかのチェックを行っており、同社の検索結果や広告の信頼性をある程度保証しているということだ」と思っていることだろう。

 もちろん、そんなことはまったくない。Googleの広告ネットワークから配信される広告を掲載するサイトが、それらの広告について一切責任を負わないのと同様だ。ユーザーへのアドバイスとしては、不審なリンクについてと同様に、Googleの広告についても警戒することに尽きる。また、LinkScannerのような製品やサービスを使って、ブラウザ上のリンクを既知の有害リンクリストと照合してチェックするとよい。当然ながら、Googleにも油断は禁物だ。

原文へのリンク

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -