不正広告の配信経路
◆ Togetter 1. pubmatic[.]com 2. advertising[.]com 3. mathtag[.]com 4. aoxmediamarketing[.]com
2018-09-10 15:19:12◆ Engadget 1. blogsmithmedia[.]com 2. aolcdn[.]com 3. atwola[.]com 4. adtechjp[.]com 5. mathtag[.]com 6. aoxmediamarketing[.]com
2018-09-10 15:19:12◆ イザ! 1. doubleclick[.]net 2. proparm[.]jp 3. adingo[.]jp 4. proparm[.]jp 5. microad[.]jp 6. adtechjp[.]com 7. mathtag[.]com 8. aoxmediamarketing[.]com
2018-09-10 15:19:13◆ 現代ビジネス 1. googletagmanager[.]com 2. tynt[.]com 3. 33across[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com
2018-09-10 15:19:13◆ みんゆうNet 1. adtechjp[.]com 2. mathtag[.]com 3. aoxmediamarketing[.]com
2018-09-10 15:19:13◆ 沖縄タイムス 1. softbank[.]jp 2. genieesspv[.]jp 3. adtechjp[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com
2018-09-10 15:19:13◆ 愛媛新聞ONLINE 1. softbank[.]jp 2. genieesspv[.]jp 3. adtechjp[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com
2018-09-10 15:19:14◆ 福井新聞ONLINE 1. softbank[.]jp 2. genieesspv[.]jp 3. adtechjp[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com
2018-09-10 15:19:14◆ Retty 1. rubiconproject[.]com 2. 33across[.]com 3. mathtag[.]com 4. aoxmediamarketing[.]com
2018-09-12 13:56:40◆ Washington Post 1. washingtonpost[.]com 2. indexww[.]com 3. advertising[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com
2018-09-14 14:38:31◆ BuzzFeed 1. buzzfeed[.]com 2. rubiconproject[.]com 3. mathtag[.]com 4. aoxmediamarketing[.]com ※ sandbox属性によってリダイレクトは阻止された
2018-09-19 05:04:37aoxmediamarketing[.]com が悪質なスクリプトを配信しているサーバーです。 aoxmediamarketing[.]com はどれも mathtag[.]com から配信されているのが分かります。
2018-09-10 15:19:14不正広告の動作
◆ ローダー1 ・ユーザーエージェントから実行環境を検出して結果を"ローダー2"のURLパラメーターに追加 ・"ローダー2"のURLを生成して読み込み
2018-09-10 15:19:15◆ ローダー2 ・ブラウザのフィンガープリントを作成して"JSONファイル"のURLパラメーターに追加 ・"JSONファイル"のURLを生成してダウンロード ・"JSONファイル"から広告データを取り出して広告を表示 ・"JSONファイル"から"ローダー3"のJSコードを取り出して実行
2018-09-10 15:19:15◆ ローダー3 ・デバッガーを検出して結果を"リダイレクター"のURLパラメーターに追加 ・"リダイレクター"のURLを生成して読み込み
2018-09-10 15:19:15◇ 補足 ・一定時間内に同一環境からアクセスした場合は"JSONファイル"に"ローダー3"のコードが含まれなくなる ・そのため、リダイレクトは行われずに広告が表示されるのみとなる ・これは不正広告の特定と解析を妨害するためと思われる
2018-09-10 15:19:16リダイレクトの仕組み
1枚目がオリジナル 2枚目がコードを整形したもの 3枚目がコードを可読化したもの pic.twitter.com/tFVboRcRVX
2018-09-10 15:19:16