更新 2018年9月19日作成 2018年9月10日

当選詐欺リダイレクト広告の配信経路とメカニズム

まとめました。

セキュリティ広告セルフまとめ詐欺広告 MediaMath

nafu_mofu
136579
71
1188
178
550

220

nafumofu @nafu_mofu

最近話題のGoogleを装った当選詐欺サイトにリダイレクトする不正広告を調べてみました。

2018-09-10 15:19:11

不正広告の配信経路

nafumofu @nafu_mofu

まずは不正広告の配信経路から。現時点で確認した配信経路は次のものです。（読み込み順序は番号順）

2018-09-10 15:19:12

nafumofu @nafu_mofu

◆ Togetter 1. pubmatic[.]com 2. advertising[.]com 3. mathtag[.]com 4. aoxmediamarketing[.]com

2018-09-10 15:19:12

nafumofu @nafu_mofu

◆ Engadget 1. blogsmithmedia[.]com 2. aolcdn[.]com 3. atwola[.]com 4. adtechjp[.]com 5. mathtag[.]com 6. aoxmediamarketing[.]com

2018-09-10 15:19:12

nafumofu @nafu_mofu

◆ イザ！ 1. doubleclick[.]net 2. proparm[.]jp 3. adingo[.]jp 4. proparm[.]jp 5. microad[.]jp 6. adtechjp[.]com 7. mathtag[.]com 8. aoxmediamarketing[.]com

2018-09-10 15:19:13

nafumofu @nafu_mofu

◆ 現代ビジネス 1. googletagmanager[.]com 2. tynt[.]com 3. 33across[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com

2018-09-10 15:19:13

nafumofu @nafu_mofu

◆ みんゆうNet 1. adtechjp[.]com 2. mathtag[.]com 3. aoxmediamarketing[.]com

2018-09-10 15:19:13

nafumofu @nafu_mofu

◆ 沖縄タイムス 1. softbank[.]jp 2. genieesspv[.]jp 3. adtechjp[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com

2018-09-10 15:19:13

nafumofu @nafu_mofu

◆ 愛媛新聞ONLINE 1. softbank[.]jp 2. genieesspv[.]jp 3. adtechjp[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com

2018-09-10 15:19:14

nafumofu @nafu_mofu

◆ 福井新聞ONLINE 1. softbank[.]jp 2. genieesspv[.]jp 3. adtechjp[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com

2018-09-10 15:19:14

nafumofu @nafu_mofu

◆ Retty 1. rubiconproject[.]com 2. 33across[.]com 3. mathtag[.]com 4. aoxmediamarketing[.]com

2018-09-12 13:56:40

nafumofu @nafu_mofu

◆ Washington Post 1. washingtonpost[.]com 2. indexww[.]com 3. advertising[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com

2018-09-14 14:38:31

nafumofu @nafu_mofu

◆ BuzzFeed 1. buzzfeed[.]com 2. rubiconproject[.]com 3. mathtag[.]com 4. aoxmediamarketing[.]com ※ sandbox属性によってリダイレクトは阻止された

2018-09-19 05:04:37

nafumofu @nafu_mofu

aoxmediamarketing[.]com が悪質なスクリプトを配信しているサーバーです。 aoxmediamarketing[.]com はどれも mathtag[.]com から配信されているのが分かります。

2018-09-10 15:19:14

不正広告の動作

nafumofu @nafu_mofu

次に不正広告の動作について。不正広告は主に3個のローダーと1個のリダイレクターによって構成されています。

2018-09-10 15:19:14

nafumofu @nafu_mofu

◆ ローダー1 ・ユーザーエージェントから実行環境を検出して結果を"ローダー2"のURLパラメーターに追加・"ローダー2"のURLを生成して読み込み

2018-09-10 15:19:15

nafumofu @nafu_mofu

◆ ローダー2 ・ブラウザのフィンガープリントを作成して"JSONファイル"のURLパラメーターに追加・"JSONファイル"のURLを生成してダウンロード・"JSONファイル"から広告データを取り出して広告を表示・"JSONファイル"から"ローダー3"のJSコードを取り出して実行

2018-09-10 15:19:15

nafumofu @nafu_mofu

◆ ローダー3 ・デバッガーを検出して結果を"リダイレクター"のURLパラメーターに追加・"リダイレクター"のURLを生成して読み込み

2018-09-10 15:19:15

nafumofu @nafu_mofu

◆ リダイレクター・当選詐欺サイトに強制リダイレクト

2018-09-10 15:19:16

nafumofu @nafu_mofu

◇ 補足・一定時間内に同一環境からアクセスした場合は"JSONファイル"に"ローダー3"のコードが含まれなくなる・そのため、リダイレクトは行われずに広告が表示されるのみとなる・これは不正広告の特定と解析を妨害するためと思われる

2018-09-10 15:19:16

リダイレクトの仕組み

nafumofu @nafu_mofu

最後にリダイレクターのコードを見ていきます。

2018-09-10 15:19:16

nafumofu @nafu_mofu

1枚目がオリジナル 2枚目がコードを整形したもの 3枚目がコードを可読化したもの pic.twitter.com/tFVboRcRVX

2018-09-10 15:19:16

拡大

1 2 次へ

不正広告の配信経路

不正広告の動作

リダイレクトの仕組み

いま話題のタグ