Googleに掲載された怪しげな広告を不用意にクリックしてしまうユーザーが何百人もいる――。セキュリティ研究者がGoogleの広告システムAdwordsで実験を行い、結果をブログで公表した。
この実験は、Adwordsの悪用が可能かどうかを試す目的で、ベルギーのITセキュリティ専門家、ディディエ・スティーブンズ氏が実施。次のような内容の広告を半年にわたってGoogleに掲載し、ユーザーの反応を調べた。
Drive-By-Download
Is your PC virus-free?
Get it infected here!
drive-by-download.info
(ドライブバイダウンロード あなたのPCにウイルスはいませんか? こちらで感染させましょう!)
ドライブバイダウンロードとは、特定のサイトを閲覧しただけで、ユーザーが気付かないうちにマルウェアなどをダウンロードさせる手口のこと(関連記事)。
広告掲載に当たり、スティーブンズ氏はまず「drive-by-download.info」のドメインを登録し、訪れたユーザーのログを記録するWebページを開設。Google Adwordsを使い、「drive by download」の単語を組み合わせて検索した場合にこの広告が表示されるようにした。
広告は半年間で25万9723回表示され、クリックされた回数は409回。クリックスルー率は0.16%だった。広告掲載にかかった費用は17ユーロ(23ドル)のみ。同サイトで実際に攻撃コードをホスティングしていたとすれば、1台あたりわずか0.04ユーロ(0.06ドル)のコストで感染させることができていた計算になる。マシンの98%はWindows搭載だった。
Google Adwordsにもっと費用をかけて巧みに仕組んだ広告を載せれば、はるかに多くのトラフィックを稼げたことは間違いないとスティーブンズ氏は指摘する。
広告は意図的に怪しい内容に見せかけたが、問題なくGoogleに受け入れられ、これまでのところ苦情もないと同氏は報告している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR