【新機能】作り忘れたまとめはありませんか?31日前まで期間指定してまとめが作れる高度な検索ができました。有料APIだからツイートの漏れはありません!
213
ログインして広告を非表示にする
なふもふ @nafu_mofu 2018-09-10 15:19:11
最近話題のGoogleを装った当選詐欺サイトにリダイレクトする不正広告を調べてみました。
不正広告の配信経路
なふもふ @nafu_mofu 2018-09-10 15:19:12
まずは不正広告の配信経路から。 現時点で確認した配信経路は次のものです。(読み込み順序は番号順)
なふもふ @nafu_mofu 2018-09-10 15:19:12
◆ Togetter 1. pubmatic[.]com 2. advertising[.]com 3. mathtag[.]com 4. aoxmediamarketing[.]com
なふもふ @nafu_mofu 2018-09-10 15:19:12
◆ Engadget 1. blogsmithmedia[.]com 2. aolcdn[.]com 3. atwola[.]com 4. adtechjp[.]com 5. mathtag[.]com 6. aoxmediamarketing[.]com
なふもふ @nafu_mofu 2018-09-10 15:19:13
◆ イザ! 1. doubleclick[.]net 2. proparm[.]jp 3. adingo[.]jp 4. proparm[.]jp 5. microad[.]jp 6. adtechjp[.]com 7. mathtag[.]com 8. aoxmediamarketing[.]com
なふもふ @nafu_mofu 2018-09-10 15:19:13
◆ 現代ビジネス 1. googletagmanager[.]com 2. tynt[.]com 3. 33across[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com
なふもふ @nafu_mofu 2018-09-10 15:19:13
◆ みんゆうNet 1. adtechjp[.]com 2. mathtag[.]com 3. aoxmediamarketing[.]com
なふもふ @nafu_mofu 2018-09-10 15:19:13
◆ 沖縄タイムス 1. softbank[.]jp 2. genieesspv[.]jp 3. adtechjp[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com
なふもふ @nafu_mofu 2018-09-10 15:19:14
◆ 愛媛新聞ONLINE 1. softbank[.]jp 2. genieesspv[.]jp 3. adtechjp[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com
なふもふ @nafu_mofu 2018-09-10 15:19:14
◆ 福井新聞ONLINE 1. softbank[.]jp 2. genieesspv[.]jp 3. adtechjp[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com
なふもふ @nafu_mofu 2018-09-12 13:56:40
◆ Retty 1. rubiconproject[.]com 2. 33across[.]com 3. mathtag[.]com 4. aoxmediamarketing[.]com
なふもふ @nafu_mofu 2018-09-14 14:38:31
◆ Washington Post 1. washingtonpost[.]com 2. indexww[.]com 3. advertising[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com
なふもふ @nafu_mofu 2018-09-19 05:04:37
◆ BuzzFeed 1. buzzfeed[.]com 2. rubiconproject[.]com 3. mathtag[.]com 4. aoxmediamarketing[.]com ※ sandbox属性によってリダイレクトは阻止された
なふもふ @nafu_mofu 2018-09-10 15:19:14
aoxmediamarketing[.]com が悪質なスクリプトを配信しているサーバーです。 aoxmediamarketing[.]com はどれも mathtag[.]com から配信されているのが分かります。
不正広告の動作
なふもふ @nafu_mofu 2018-09-10 15:19:14
次に不正広告の動作について。 不正広告は主に3個のローダーと1個のリダイレクターによって構成されています。
なふもふ @nafu_mofu 2018-09-10 15:19:15
◆ ローダー1 ・ユーザーエージェントから実行環境を検出して結果を"ローダー2"のURLパラメーターに追加 ・"ローダー2"のURLを生成して読み込み
なふもふ @nafu_mofu 2018-09-10 15:19:15
◆ ローダー2 ・ブラウザのフィンガープリントを作成して"JSONファイル"のURLパラメーターに追加 ・"JSONファイル"のURLを生成してダウンロード ・"JSONファイル"から広告データを取り出して広告を表示 ・"JSONファイル"から"ローダー3"のJSコードを取り出して実行
なふもふ @nafu_mofu 2018-09-10 15:19:15
◆ ローダー3 ・デバッガーを検出して結果を"リダイレクター"のURLパラメーターに追加 ・"リダイレクター"のURLを生成して読み込み
なふもふ @nafu_mofu 2018-09-10 15:19:16
◆ リダイレクター ・当選詐欺サイトに強制リダイレクト
なふもふ @nafu_mofu 2018-09-10 15:19:16
◇ 補足 ・一定時間内に同一環境からアクセスした場合は"JSONファイル"に"ローダー3"のコードが含まれなくなる ・そのため、リダイレクトは行われずに広告が表示されるのみとなる ・これは不正広告の特定と解析を妨害するためと思われる
リダイレクトの仕組み
なふもふ @nafu_mofu 2018-09-10 15:19:16
最後にリダイレクターのコードを見ていきます。
なふもふ @nafu_mofu 2018-09-10 15:19:16
1枚目がオリジナル 2枚目がコードを整形したもの 3枚目がコードを可読化したもの pic.twitter.com/tFVboRcRVX
 拡大
 拡大
 拡大
残りを読む(3)

コメント

夢浦忍 @Y_SINOBU 10日前
Togetter 見てても時々出てくるんだよなあ、この当選詐欺画面
yositosi @yositosi 10日前
まとめありがとうございます。mathtag[.]com が問題だったんですね。アドネットワークにmathtagを利用している事業者を停止するように連絡しました。
yositosi @yositosi 10日前
「デバッガーを検出して結果を"リダイレクター"のURLパラメーターに追加」ということは、デバッガーがONだとリダイレクトされないようにしているということですか?
なふもふ @nafu_mofu 10日前
yositosi デバッガーは使用せずFiddlerでログを取りながら調べていたのでデバッガーを使っている場合にどうなるかは分かりません。 ただ、調べ始めた当初にVivaldiで開発者ツールを開いてる状態でもリダイレクトはされました。
なふもふ @nafu_mofu 10日前
デバッガーの判別コードには selenium, phantom, devToolsOpened, sandboxed, portsOpened とあります。
権中納言明淳 @mtoaki 10日前
Y_SINOBU 対策したみたいな事言ってたのに、いまだにしょっちゅう出てくる。
羽倉田 @wakurata 10日前
mtoaki 新しい対処したんで止まってほしいってツイートしてましたけどねw 残念ながら直ってないんだよなぁw https://twitter.com/togetter_jp/status/1039060832921907201
羽倉田 @wakurata 10日前
コメント欄にタイプし始めて数文字くらいで当選画面に飛ぶものだからアラートにEnter押したことになってしまって何かしら情報抜かれてるので本当に困る
@D9hV1M7YOI3PZCj 10日前
NoScriptみたいなので自衛するしかないかなぁ
ルカ_( ‘ᾥ’ 」∠ )_ @Luca_Maud1125 10日前
JavaScript経由でのリダイレクトをブロックできればなぁ・・・。 クライアントスクリプト経由のリダイレクトって9割ぐらいロクな代物じゃないでしょ。
yositosi @yositosi 10日前
iframeの中から、window.top.locationを叩けるようになっているのが、そもそもの実装上の考慮漏れだと思う。広告用のiframeにsandboxの属性つけるような業界標準にしてくれないですかね?
はくしんかわ @sato231031 10日前
当選詐欺画面を閉じようとすると閉じれないように仕込まれるし悪質すぎる。
UNI勢と化した深月 慧 @Key_Hukatuki 10日前
ublock originユーザーのワイ高みの見物
おきぐすり @1985oronine666 10日前
とげったでよく引っかかるから何とかしてほしい_(:3」∠)_
牧島師狼 @bokushisan 10日前
このまとめを読もうとしたまさにその瞬間飛ばされてしまった……
K3@FGO残1.0 @K3flick 10日前
この広告かなり悪質なので排除してほしいな・・・
石川和男 @ishikawakazuo 10日前
こいつかぁ。実に鬱陶しい当選詐欺広告。
SAKURA87@多摩丙丁督 @Sakura87_net 10日前
この手の広告はいたちごっこで排除しても排除してもゴキブリのごとく沸いてねずみ算式に広がっていくから、どこもかしこもお手上げ状態なんだろうなぁ。っていうか広告業者がアニメGIFの画像表示とAタグによるリンク以外を禁止すればみんな幸せになるんだよなぁ。
ディー @DDcmdd 10日前
強制画面遷移系の広告、戻るで戻らせてくれず一回タブ閉じるしかないのが鬱陶しい
♡ゆるゆるゆめかわおじさん♡ @momochi_A58RG 10日前
このまとめのコメント見てたら飛ばされたのは何かのギャグだろうか
権中納言明淳 @mtoaki 10日前
結局これはtogetterがどうにかすべきなの? 広告業者がどうにかすべきなの?
RGB000 @19666_61 10日前
これがあるうちは広告ブロッカー使わせていただきますわ
82式後藤 @type82gotoh 10日前
上コメにもあるけど、このまとめ読んでたらその当該悪質広告に飛ばされて爆笑してしまった。
カリソメ @karisomenoaka 10日前
まさに今飛ばされた。1Pしか開かれてなさそうだったのに直後に履歴欄を見たら「おめでとうございます!」が5個くらい並んでたので驚いたけどリダイレクト祭りだったのかな。
カリソメ @karisomenoaka 10日前
身体を電波化させてネットを逆走しスパム業者に辿り着きPCごと爆殺するアメコミヒーロー出てきてほしいわ。
かもかも @kamokamotw 10日前
せっかくURL出してくれたんだしこれ全部ブロックすればええんじゃろ ほーれhostでlocalhostじゃ
席上 @Nonsomnia 10日前
結局なんの情報が抜かれてんだろうねこれ。それともプラグイン的なものでも仕込まれてるんだろうか
coilcoils @coilcoils 10日前
俺の環境だと出ないな。必要がない場合はシークレットモードでネット観る習慣付けしているから、不正広告が表示されないから?でも油断は禁物ですな。
にににry @for_registratio 9日前
いつまでもそう小さくないサイトでも広告から廃除されないのは特定しきれないからなのかね?
おやすみ💜(ひらがな) @oyasuminet_00 9日前
for_registratio アドネトがどこから広告を引っ張ってるかは サイト側では承知していないので不穏な代理店と契約してる 中上位アドネトを使わないことぐらいしか対策しようがなく ASP変えてもいつの間にからしいです GoogleAdもYahooADも切ると・・・自前で広告集めるしか
おやすみ💜(ひらがな) @oyasuminet_00 9日前
脱獄してないiPhoneでも 設定→一般→機能制限→Webサイト→アダルトコンテンツを制限→常に禁止→Webサイトを追加 でHostsファイルぽいはじき方は出来ます。許可するサイト求められるたびにPINコード入れる手間はありますけど
権中納言明淳 @mtoaki 9日前
oyasuminet_00 広告配信業者が対応できない(しない)という事は良識あるサイト運営者とすれば「WEB広告を使わない」以外の解決法はないって事か。
葵真碧(mao aoi) @maochin39blue 9日前
正直、件の広告が出るようになってからPCで棘見るのをやめて、スマフォのアプリで見てる。治ったかなと思って今日PCで見たらまたなってたね。
UNI勢と化した深月 慧 @Key_Hukatuki 9日前
iPhoneならアドガとかDNScloakがおすすめ
にににry @for_registratio 9日前
oyasuminet_00 サイト側としてはまともな広告代理業者(ある?)を使うようにする、それでも混ざり込むことはあるって感じすかね。
おやすみ💜(ひらがな) @oyasuminet_00 9日前
リダイレクト中にアドフラウドしてることもあるので https://togetter.com/li/1084353  +VPN系のアドブロッカーはそれはそれで通信を全部渡すことになるし
[74]Kirara@HM多の津支店/久遠境・小倉合同 @Kirara1314 9日前
直接は関係ないんだけど強制的に動画再生するタイプの広告も逝ってほしい今日この頃。BGMが突然変異消えてウザいんだよ
河田直美 @gyro_m111 9日前
outlook.com 使用時にも似たような当選詐欺リダイレクト広告が表示されたことがあります。
ざの人(トギャッター用垢) @zairo2016 9日前
yositosi これまじ運営に文句言おうと思ってたのだけど、気にはしてたけど運営でも対策が見つからなかったですね(大汗、 ソレが見つかって何よりです。  ほんとうっとおしかったので。
ざの人(トギャッター用垢) @zairo2016 9日前
先週、クローズアップ現代プラスで、電通も把握できていない。まとめサイト エロサイトの本来なら表示されない広告の問題、 AD広告の問題が報告され、NHKはソレらしき業者までたどり着くが、公開しないから、ということは?アドオンで ADブロッカーのような、それらをターゲットとした広告が出ないものを用意するしか無いんですかね?
ざの人(トギャッター用垢) @zairo2016 9日前
for_registratio だからその中に電通が入っていて、電通も困っている状態だから、つまり巧妙にぶら下がってる下請け業者がいて、潜在的に分散させる。それを公表するには特定できずに至っていないから起こっている問題がある。それを法律で規制できないから、その部分の強制捜査権と業者名を明かす法律とおもうのだけど、現代ではあくまで「疑わしい段階」でしかなく、その段階規制だと?特定できないし、もしなりすまし偽装された冤罪だったら?という問題も多くはらんでいる模様。
ざの人(トギャッター用垢) @zairo2016 9日前
Key_Hukatuki 本当にそれで通用するのか、試してみることにしますわ。今導入した。
ざの人(トギャッター用垢) @zairo2016 9日前
Key_Hukatuki おおすげえ、ここで指摘されたサイトはことごとく、まだ率祖化されていないところも登録してブロックできそう。  uBlock Origin は、このページの読み込みをブロックしました。と  処理してくれる模様。 棘の指摘された問題サイト2つはブロックされた。これならいけるかも?
ざの人(トギャッター用垢) @zairo2016 9日前
率祖化されていない ☓ リスト化されていない◎
にににry @for_registratio 9日前
zairo2016 広告の方式を根本から変えないと駄目なのかもですねぇ。 今は(たぶん)広告の実コンテンツ自体は、代理業者は持たず、そちらを取りに行かせるようなhtml/javascript記述を返してる、よね。それを広告枠で表示するコンテンツの全てを代理業者のサーバに置くようにするとか。悪意のない広告主的には柔軟性低くなるだろうけど。
ざの人(トギャッター用垢) @zairo2016 9日前
ublock origin のアイコンの動きを見てると? リロードすると 4だった数字が7に跳ね上がる。時間経過とともに流してくるパターンも有るということなんだろうか?最初は何もなしに偽装、タイムラグで時間差で仕掛けてくるという高度な仕組み。それにも対応している感じがする。 (リ)ロードしたばかりだと反応しないけど、見てるうちに、いつの間にか飛ばされるというのも対応してるのかー、そこもすごいな。
ざの人(トギャッター用垢) @zairo2016 9日前
for_registratio 広告だけのサーバーを一括管理すれば?って話でしょ。でもさすがに電通でも出来ないのは一箇所数中は管理しやすいけど処理が追いつかないという問題があるから、1企業が持つサーバーの処理能力を上げるにも限度があるし、今のネットの技術は、その中間を請け負うプロキシサーバー専門業者 Cloudflare とかががいるから成り立っている現状もあるから、基本的には ブロックプログラムを用いて、リストを更新して対応が望ましいとは思いますね。
UNI勢と化した深月 慧 @Key_Hukatuki 9日前
zairo2016 uブロはそのまんまでも使えないことはないけど、デフォにある日本語フィルタは誤爆が多いからカットした方が吉。 参考にどぞ(フィルタ一覧もある) https://wikiwiki.jp/nanj-adguard/
UNI勢と化した深月 慧 @Key_Hukatuki 9日前
デフォのまんまだと通報できなくなるし、入れないサイトがあるからね。
UNI勢と化した深月 慧 @Key_Hukatuki 9日前
uブロとかの広告ブロッカー入れておけばまとめにあるようなことが無くなるだけでなく見た目がスッキリするし、つべの広告(クッソうっざいあべりょうの歌含め)を見ずに済む。 その分のデータも節約できる。 いいゾ〜これ
ざの人(トギャッター用垢) @zairo2016 9日前
ただこの問題は 運営としては、広告ブロッカーを使ってくださいとは 立場的にはいえないのよね。 なぜならその広告で収入を得ているのだから(爆
ざの人(トギャッター用垢) @zairo2016 9日前
Key_Hukatuki 見たけど なんJ民 と書いてあるところにすごく抵抗があり、素直に導入しようとは思えない(大汗 なぜならその連中が多くの活動家のアカウントを廃止に追いやる運動を行っているから。
UNI勢と化した深月 慧 @Key_Hukatuki 9日前
zairo2016 ワイもネトウヨ動画BAN騒動の余波でなんJ 民にひどい目に合わされたことがあったけど、広告ブロッカーのうまい使い方を知ることができたからおあいこって事にしてる。 (荒らしたことを許したとは言ってない)
UNI勢と化した深月 慧 @Key_Hukatuki 9日前
Key_Hukatuki なんJ民もフィルタ作ってるけど、いろんなフィルタ一覧があるので一見の余地はある
やまだ @eien0213 9日前
ここでは、まだ一度もないな。ホントにあるの?
FX-702P @fx702p 9日前
PCでみた時に出てきたことはないけど、togetterに限らずスマホでWEB見てると結構出てくる。
冶金 @yakeen4510 9日前
見たことないなぁ…。
Nicholai MARO @MAROCKs 9日前
僕はtrafficads.netとの通信を出来ないように発と宛の双方でルーターのポートでパケットを廃棄設定にしている。だから詐欺ページそのものがもう表示されない。数時間前に棘でもこの詐欺ページへのリダイレクトの要求が確認できた。通信出来ないのでタイムアウト後にブラウザは「ページがない」を表示する。棘が「対策している」と言っていてもまだまだ詐欺ページへリダイレクトされる人は多い様子。
Nicholai MARO @MAROCKs 9日前
本まとめでも「リダイレクトが確認できたサイト」の記載があるように、案外と著名なサイト複数で発生している。だからこれからも不特定多数のサイトで起こりえる。どのサイトの広告から詐欺サイトページ(これも同じで在のものが複数確認できている)にリダイレクトされるか不明なので、詐欺サイトそのものとの通信をしないようにした。
Simon_Sin @Simon_Sin 9日前
つまりtogetterを閲覧するときは広告をブロックすればいいという認識でよろしいですか?
なふもふ @nafu_mofu 9日前
地方紙のサイトは不正広告の出現率が高かったのですが、今は出なくなっているようです。 もしかしたら広告配信会社が対応したのかもしれません。
BugbearR @BugbearR 9日前
たまーに出てくる、一度出たらその後はおとなしくする、というので、ブラウザのデバッガで追いたくても追えないのが辛い。リダイレクトも含めて、ページの全データをちゃんと残してくれる方法ないんですかね。
しわ(師走くらげ)@余暇ください @shiwasu_hrpy 9日前
たまに自滅する機能持ちとはいえAdblockを消せない原因がこれなんだよなぁ。何度フ○ッキューファッ○ューしながら強制終了かけたやら。Block導入してから比較的平和だけど棘さん的には良くないのよなーつらみ。
K3@FGO残1.0 @K3flick 9日前
アバストにウイルス認定されたようで、アラートが出るようになったw
まうみん @maumin66 9日前
アプリで見てると出ねえな
Tom C @amainau 9日前
「事件現場にコナン君がいたから、コナン君が犯人に違いない」と言っているに等しい可能性ないかこれ?
なふもふ @nafu_mofu 8日前
まとめを更新しました。 不正広告の配信経路に「Retty」を追加しました。
カリソメ @karisomenoaka 8日前
仕方ないからアプリで見るようにしてみたけど、アプリだとtogecutterでコメ欄ユーザミュートが出来ないんだよなあ…。
なふもふ @nafu_mofu 6日前
まとめを更新しました。 不正広告の配信経路に「Washington Post」を追加しました。
なふもふ @nafu_mofu 1日前
まとめを更新しました。 不正広告の配信経路に「BuzzFeed」を追加しました。 今回はsandbox属性によってリダイレクトはされませんでした。
ログインして広告を非表示にする
ログインして広告を非表示にする