広告ブロック対抗サービスでマルウェア感染、超巧妙な手口で実行か

攻撃者はCEOから従業員にあてたメールに偽装し、極めて入念な手口を実行した。

[鈴木聖子，ITmedia]

　広告ブロック対抗サービスを展開しているアイルランドのPageFairは、同社のサービスが一時的にハッキングされ、Webサイト経由でユーザーにマルウェアをダウンロードさせていたことが分かったと発表した。英経済誌Economistは、この間にeconomist.comを閲覧したユーザーがマルウェアに感染した可能性があるとして注意を促した。

　PageFairの発表によると、ハッキングは10月31日深夜（グリニッジ標準時）から83分間にわたって発生。PageFairの分析サービスを利用しているWebサイトに悪質なJavaScriptが仕込まれ、一部のユーザーに実行可能ファイルをダウンロードさせていたという。

　攻撃者はPageFairを標的として非常に巧妙な手口のスピアフィッシング攻撃を仕掛け、重要な電子メールアカウントへのアクセスを確立し、パスワードをリセットして、同社が使っているContent Distribution Network（CDN）サービスのPageFairのアカウントを乗っ取った。

Flash更新を装ってマルウェアに感染させる（PageFairより）

　フィッシング詐欺メールはPageFairの最高経営責任者（CEO）から従業員にあてたメールに見せかけてあり、件名も文面ももっともらしい内容でリンクのクリックを促していた。リンク先の偽のGoogle認証画面は標的とするユーザー用にカスタマイズされ、電子メールとアバターが既に入力されていて、URLは「https://services.google.com」で始まっており、パスワードを入力した後に表示される画面もGoogleの確認ページを完璧に模倣。ここまで手の込んだ手口を使われれば、どんな人物でもだまされる可能性があったと説明している。

　攻撃者は乗っ取ったアカウントからCDNの設定を変更してPageFairのJavaScriptを悪質なJavaScriptに入れ替え、Adobe Flashの更新を装って、Windowsを標的とするマルウェアをインストールさせていたという。

　この攻撃でパブリッシャー501社が影響を受け、PageFairが対策を講じるまでの83分の間に、この501社のWebサイトを閲覧したWindowsユーザーがマルウェアに感染した可能性がある。ただし、同マルウェアは大手ウイルス対策製品の多くで検出でき、危険にさらされたのはビジターの2.3％のみだったとPageFairは試算している。

Economistが紹介している対策