Togetter/min.tを安心してお使い頂くためのガイドラインを公開しました。
2018年9月10日

当選詐欺リダイレクト広告の配信経路とメカニズム

まとめました。
220
なふもふ @nafu_mofu

最近話題のGoogleを装った当選詐欺サイトにリダイレクトする不正広告を調べてみました。

2018-09-10 15:19:11

不正広告の配信経路

なふもふ @nafu_mofu

まずは不正広告の配信経路から。 現時点で確認した配信経路は次のものです。(読み込み順序は番号順)

2018-09-10 15:19:12
なふもふ @nafu_mofu

◆ Togetter 1. pubmatic[.]com 2. advertising[.]com 3. mathtag[.]com 4. aoxmediamarketing[.]com

2018-09-10 15:19:12
なふもふ @nafu_mofu

◆ Engadget 1. blogsmithmedia[.]com 2. aolcdn[.]com 3. atwola[.]com 4. adtechjp[.]com 5. mathtag[.]com 6. aoxmediamarketing[.]com

2018-09-10 15:19:12
なふもふ @nafu_mofu

◆ イザ! 1. doubleclick[.]net 2. proparm[.]jp 3. adingo[.]jp 4. proparm[.]jp 5. microad[.]jp 6. adtechjp[.]com 7. mathtag[.]com 8. aoxmediamarketing[.]com

2018-09-10 15:19:13
なふもふ @nafu_mofu

◆ 現代ビジネス 1. googletagmanager[.]com 2. tynt[.]com 3. 33across[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com

2018-09-10 15:19:13
なふもふ @nafu_mofu

◆ みんゆうNet 1. adtechjp[.]com 2. mathtag[.]com 3. aoxmediamarketing[.]com

2018-09-10 15:19:13
なふもふ @nafu_mofu

◆ 沖縄タイムス 1. softbank[.]jp 2. genieesspv[.]jp 3. adtechjp[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com

2018-09-10 15:19:13
なふもふ @nafu_mofu

◆ 愛媛新聞ONLINE 1. softbank[.]jp 2. genieesspv[.]jp 3. adtechjp[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com

2018-09-10 15:19:14
なふもふ @nafu_mofu

◆ 福井新聞ONLINE 1. softbank[.]jp 2. genieesspv[.]jp 3. adtechjp[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com

2018-09-10 15:19:14
なふもふ @nafu_mofu

◆ Retty 1. rubiconproject[.]com 2. 33across[.]com 3. mathtag[.]com 4. aoxmediamarketing[.]com

2018-09-12 13:56:40
なふもふ @nafu_mofu

◆ Washington Post 1. washingtonpost[.]com 2. indexww[.]com 3. advertising[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com

2018-09-14 14:38:31
なふもふ @nafu_mofu

◆ BuzzFeed 1. buzzfeed[.]com 2. rubiconproject[.]com 3. mathtag[.]com 4. aoxmediamarketing[.]com ※ sandbox属性によってリダイレクトは阻止された

2018-09-19 05:04:37
なふもふ @nafu_mofu

aoxmediamarketing[.]com が悪質なスクリプトを配信しているサーバーです。 aoxmediamarketing[.]com はどれも mathtag[.]com から配信されているのが分かります。

2018-09-10 15:19:14

不正広告の動作

なふもふ @nafu_mofu

次に不正広告の動作について。 不正広告は主に3個のローダーと1個のリダイレクターによって構成されています。

2018-09-10 15:19:14
なふもふ @nafu_mofu

◆ ローダー1 ・ユーザーエージェントから実行環境を検出して結果を"ローダー2"のURLパラメーターに追加 ・"ローダー2"のURLを生成して読み込み

2018-09-10 15:19:15
なふもふ @nafu_mofu

◆ ローダー2 ・ブラウザのフィンガープリントを作成して"JSONファイル"のURLパラメーターに追加 ・"JSONファイル"のURLを生成してダウンロード ・"JSONファイル"から広告データを取り出して広告を表示 ・"JSONファイル"から"ローダー3"のJSコードを取り出して実行

2018-09-10 15:19:15
なふもふ @nafu_mofu

◆ ローダー3 ・デバッガーを検出して結果を"リダイレクター"のURLパラメーターに追加 ・"リダイレクター"のURLを生成して読み込み

2018-09-10 15:19:15
なふもふ @nafu_mofu

◆ リダイレクター ・当選詐欺サイトに強制リダイレクト

2018-09-10 15:19:16
なふもふ @nafu_mofu

◇ 補足 ・一定時間内に同一環境からアクセスした場合は"JSONファイル"に"ローダー3"のコードが含まれなくなる ・そのため、リダイレクトは行われずに広告が表示されるのみとなる ・これは不正広告の特定と解析を妨害するためと思われる

2018-09-10 15:19:16

リダイレクトの仕組み

なふもふ @nafu_mofu

最後にリダイレクターのコードを見ていきます。

2018-09-10 15:19:16
なふもふ @nafu_mofu

1枚目がオリジナル 2枚目がコードを整形したもの 3枚目がコードを可読化したもの pic.twitter.com/tFVboRcRVX

2018-09-10 15:19:16
拡大
拡大
拡大
残りを読む(3)

コメント

夢浦忍 @Y_SINOBU 2018年9月10日
Togetter 見てても時々出てくるんだよなあ、この当選詐欺画面
87
yositosi @yositosi 2018年9月10日
まとめありがとうございます。mathtag[.]com が問題だったんですね。アドネットワークにmathtagを利用している事業者を停止するように連絡しました。
69
yositosi @yositosi 2018年9月10日
「デバッガーを検出して結果を"リダイレクター"のURLパラメーターに追加」ということは、デバッガーがONだとリダイレクトされないようにしているということですか?
7
なふもふ @nafu_mofu 2018年9月10日
yositosi デバッガーは使用せずFiddlerでログを取りながら調べていたのでデバッガーを使っている場合にどうなるかは分かりません。 ただ、調べ始めた当初にVivaldiで開発者ツールを開いてる状態でもリダイレクトはされました。
15
なふもふ @nafu_mofu 2018年9月10日
デバッガーの判別コードには selenium, phantom, devToolsOpened, sandboxed, portsOpened とあります。
8
エリ・エリ・レマ・サンバディトゥナイ @mtoaki 2018年9月10日
Y_SINOBU 対策したみたいな事言ってたのに、いまだにしょっちゅう出てくる。
36
羽倉田 @wakurata 2018年9月10日
mtoaki 新しい対処したんで止まってほしいってツイートしてましたけどねw 残念ながら直ってないんだよなぁw https://twitter.com/togetter_jp/status/1039060832921907201
29
羽倉田 @wakurata 2018年9月10日
コメント欄にタイプし始めて数文字くらいで当選画面に飛ぶものだからアラートにEnter押したことになってしまって何かしら情報抜かれてるので本当に困る
4
@D9hV1M7YOI3PZCj 2018年9月10日
NoScriptみたいなので自衛するしかないかなぁ
0
ルカ @Luca_Maud1125 2018年9月10日
JavaScript経由でのリダイレクトをブロックできればなぁ・・・。 クライアントスクリプト経由のリダイレクトって9割ぐらいロクな代物じゃないでしょ。
14
yositosi @yositosi 2018年9月10日
iframeの中から、window.top.locationを叩けるようになっているのが、そもそもの実装上の考慮漏れだと思う。広告用のiframeにsandboxの属性つけるような業界標準にしてくれないですかね?
24
はくしんかわ @sato231031 2018年9月10日
当選詐欺画面を閉じようとすると閉じれないように仕込まれるし悪質すぎる。
7
おきぐすり @1985oronine666 2018年9月10日
とげったでよく引っかかるから何とかしてほしい_(:3」∠)_
20
牧島師狼 @bokushisan 2018年9月10日
このまとめを読もうとしたまさにその瞬間飛ばされてしまった……
41
K3@FGO残8.0 @K3flick 2018年9月10日
この広告かなり悪質なので排除してほしいな・・・
8
石川和男 @ishikawakazuo 2018年9月10日
こいつかぁ。実に鬱陶しい当選詐欺広告。
2
SAKURA87@多摩丁督 @Sakura87_net 2018年9月10日
この手の広告はいたちごっこで排除しても排除してもゴキブリのごとく沸いてねずみ算式に広がっていくから、どこもかしこもお手上げ状態なんだろうなぁ。っていうか広告業者がアニメGIFの画像表示とAタグによるリンク以外を禁止すればみんな幸せになるんだよなぁ。
18
ディー @DDcmdd 2018年9月10日
強制画面遷移系の広告、戻るで戻らせてくれず一回タブ閉じるしかないのが鬱陶しい
9
ヌヌイヌン(Re) @momochi_A58RG 2018年9月10日
このまとめのコメント見てたら飛ばされたのは何かのギャグだろうか
34
エリ・エリ・レマ・サンバディトゥナイ @mtoaki 2018年9月10日
結局これはtogetterがどうにかすべきなの? 広告業者がどうにかすべきなの?
4
RGB000 @19666_61 2018年9月10日
これがあるうちは広告ブロッカー使わせていただきますわ
23
82式後藤 @type82gotoh 2018年9月10日
上コメにもあるけど、このまとめ読んでたらその当該悪質広告に飛ばされて爆笑してしまった。
7
カリソメ @karisomenoaka 2018年9月10日
まさに今飛ばされた。1Pしか開かれてなさそうだったのに直後に履歴欄を見たら「おめでとうございます!」が5個くらい並んでたので驚いたけどリダイレクト祭りだったのかな。
5
カリソメ @karisomenoaka 2018年9月10日
身体を電波化させてネットを逆走しスパム業者に辿り着きPCごと爆殺するアメコミヒーロー出てきてほしいわ。
6
かもかも @kamokamotw 2018年9月10日
せっかくURL出してくれたんだしこれ全部ブロックすればええんじゃろ ほーれhostでlocalhostじゃ
12
席上 @Nonsomnia 2018年9月11日
結局なんの情報が抜かれてんだろうねこれ。それともプラグイン的なものでも仕込まれてるんだろうか
0
にににry⋈ @for_registratio 2018年9月11日
いつまでもそう小さくないサイトでも広告から廃除されないのは特定しきれないからなのかね?
0
おやすみ(ねむねむ) @oyasuminet_00 2018年9月11日
for_registratio アドネトがどこから広告を引っ張ってるかは サイト側では承知していないので不穏な代理店と契約してる 中上位アドネトを使わないことぐらいしか対策しようがなく ASP変えてもいつの間にからしいです GoogleAdもYahooADも切ると・・・自前で広告集めるしか
5
おやすみ(ねむねむ) @oyasuminet_00 2018年9月11日
脱獄してないiPhoneでも 設定→一般→機能制限→Webサイト→アダルトコンテンツを制限→常に禁止→Webサイトを追加 でHostsファイルぽいはじき方は出来ます。許可するサイト求められるたびにPINコード入れる手間はありますけど
2
エリ・エリ・レマ・サンバディトゥナイ @mtoaki 2018年9月11日
oyasuminet_00 広告配信業者が対応できない(しない)という事は良識あるサイト運営者とすれば「WEB広告を使わない」以外の解決法はないって事か。
8
にににry⋈ @for_registratio 2018年9月11日
oyasuminet_00 サイト側としてはまともな広告代理業者(ある?)を使うようにする、それでも混ざり込むことはあるって感じすかね。
1
おやすみ(ねむねむ) @oyasuminet_00 2018年9月11日
リダイレクト中にアドフラウドしてることもあるので https://togetter.com/li/1084353  +VPN系のアドブロッカーはそれはそれで通信を全部渡すことになるし
0
[30]Kirara@ありがサンキューツアーズ @Kirara1314 2018年9月11日
直接は関係ないんだけど強制的に動画再生するタイプの広告も逝ってほしい今日この頃。BGMが突然変異消えてウザいんだよ
16
河田直美 @gyro_m111 2018年9月11日
outlook.com 使用時にも似たような当選詐欺リダイレクト広告が表示されたことがあります。
4
ざの人(棘用垢) @zairo2016 2018年9月11日
yositosi これまじ運営に文句言おうと思ってたのだけど、気にはしてたけど運営でも対策が見つからなかったですね(大汗、 ソレが見つかって何よりです。  ほんとうっとおしかったので。
0
ざの人(棘用垢) @zairo2016 2018年9月11日
[c5390255] なんだ 治ってないのか(大汗
0
ざの人(棘用垢) @zairo2016 2018年9月11日
先週、クローズアップ現代プラスで、電通も把握できていない。まとめサイト エロサイトの本来なら表示されない広告の問題、 AD広告の問題が報告され、NHKはソレらしき業者までたどり着くが、公開しないから、ということは?アドオンで ADブロッカーのような、それらをターゲットとした広告が出ないものを用意するしか無いんですかね?
0
ざの人(棘用垢) @zairo2016 2018年9月11日
for_registratio だからその中に電通が入っていて、電通も困っている状態だから、つまり巧妙にぶら下がってる下請け業者がいて、潜在的に分散させる。それを公表するには特定できずに至っていないから起こっている問題がある。それを法律で規制できないから、その部分の強制捜査権と業者名を明かす法律とおもうのだけど、現代ではあくまで「疑わしい段階」でしかなく、その段階規制だと?特定できないし、もしなりすまし偽装された冤罪だったら?という問題も多くはらんでいる模様。
0
ざの人(棘用垢) @zairo2016 2018年9月11日
Key_Hukatuki 本当にそれで通用するのか、試してみることにしますわ。今導入した。
1
ざの人(棘用垢) @zairo2016 2018年9月11日
Key_Hukatuki おおすげえ、ここで指摘されたサイトはことごとく、まだ率祖化されていないところも登録してブロックできそう。  uBlock Origin は、このページの読み込みをブロックしました。と  処理してくれる模様。 棘の指摘された問題サイト2つはブロックされた。これならいけるかも?
2
ざの人(棘用垢) @zairo2016 2018年9月11日
率祖化されていない ☓ リスト化されていない◎
0
にににry⋈ @for_registratio 2018年9月11日
zairo2016 広告の方式を根本から変えないと駄目なのかもですねぇ。 今は(たぶん)広告の実コンテンツ自体は、代理業者は持たず、そちらを取りに行かせるようなhtml/javascript記述を返してる、よね。それを広告枠で表示するコンテンツの全てを代理業者のサーバに置くようにするとか。悪意のない広告主的には柔軟性低くなるだろうけど。
1
ざの人(棘用垢) @zairo2016 2018年9月11日
ublock origin のアイコンの動きを見てると? リロードすると 4だった数字が7に跳ね上がる。時間経過とともに流してくるパターンも有るということなんだろうか?最初は何もなしに偽装、タイムラグで時間差で仕掛けてくるという高度な仕組み。それにも対応している感じがする。 (リ)ロードしたばかりだと反応しないけど、見てるうちに、いつの間にか飛ばされるというのも対応してるのかー、そこもすごいな。
1
ざの人(棘用垢) @zairo2016 2018年9月11日
for_registratio 広告だけのサーバーを一括管理すれば?って話でしょ。でもさすがに電通でも出来ないのは一箇所数中は管理しやすいけど処理が追いつかないという問題があるから、1企業が持つサーバーの処理能力を上げるにも限度があるし、今のネットの技術は、その中間を請け負うプロキシサーバー専門業者 Cloudflare とかががいるから成り立っている現状もあるから、基本的には ブロックプログラムを用いて、リストを更新して対応が望ましいとは思いますね。
1
深月 慧🌖一般プレインズウォーカーのにゃつめいと @Key_Hukatuki 2018年9月11日
zairo2016 uブロはそのまんまでも使えないことはないけど、デフォにある日本語フィルタは誤爆が多いからカットした方が吉。 参考にどぞ(フィルタ一覧もある) https://wikiwiki.jp/nanj-adguard/
0
深月 慧🌖一般プレインズウォーカーのにゃつめいと @Key_Hukatuki 2018年9月11日
デフォのまんまだと通報できなくなるし、入れないサイトがあるからね。
0
深月 慧🌖一般プレインズウォーカーのにゃつめいと @Key_Hukatuki 2018年9月11日
uブロとかの広告ブロッカー入れておけばまとめにあるようなことが無くなるだけでなく見た目がスッキリするし、つべの広告(クッソうっざいあべりょうの歌含め)を見ずに済む。 その分のデータも節約できる。 いいゾ〜これ
1
ざの人(棘用垢) @zairo2016 2018年9月11日
ただこの問題は 運営としては、広告ブロッカーを使ってくださいとは 立場的にはいえないのよね。 なぜならその広告で収入を得ているのだから(爆
1
ざの人(棘用垢) @zairo2016 2018年9月11日
Key_Hukatuki 見たけど なんJ民 と書いてあるところにすごく抵抗があり、素直に導入しようとは思えない(大汗 なぜならその連中が多くの活動家のアカウントを廃止に追いやる運動を行っているから。
1
深月 慧🌖一般プレインズウォーカーのにゃつめいと @Key_Hukatuki 2018年9月11日
zairo2016 ワイもネトウヨ動画BAN騒動の余波でなんJ 民にひどい目に合わされたことがあったけど、広告ブロッカーのうまい使い方を知ることができたからおあいこって事にしてる。 (荒らしたことを許したとは言ってない)
0
深月 慧🌖一般プレインズウォーカーのにゃつめいと @Key_Hukatuki 2018年9月11日
Key_Hukatuki なんJ民もフィルタ作ってるけど、いろんなフィルタ一覧があるので一見の余地はある
0
やまだ @eien0213 2018年9月11日
ここでは、まだ一度もないな。ホントにあるの?
1
FX-702P @fx702p 2018年9月11日
PCでみた時に出てきたことはないけど、togetterに限らずスマホでWEB見てると結構出てくる。
11
冶金 @yakeen4510 2018年9月11日
見たことないなぁ…。
1
Nicholai MARO @MAROCKs 2018年9月11日
僕はtrafficads.netとの通信を出来ないように発と宛の双方でルーターのポートでパケットを廃棄設定にしている。だから詐欺ページそのものがもう表示されない。数時間前に棘でもこの詐欺ページへのリダイレクトの要求が確認できた。通信出来ないのでタイムアウト後にブラウザは「ページがない」を表示する。棘が「対策している」と言っていてもまだまだ詐欺ページへリダイレクトされる人は多い様子。
1
Nicholai MARO @MAROCKs 2018年9月11日
本まとめでも「リダイレクトが確認できたサイト」の記載があるように、案外と著名なサイト複数で発生している。だからこれからも不特定多数のサイトで起こりえる。どのサイトの広告から詐欺サイトページ(これも同じで在のものが複数確認できている)にリダイレクトされるか不明なので、詐欺サイトそのものとの通信をしないようにした。
3
Simon_Sin @Simon_Sin 2018年9月11日
つまりtogetterを閲覧するときは広告をブロックすればいいという認識でよろしいですか?
1
なふもふ @nafu_mofu 2018年9月11日
地方紙のサイトは不正広告の出現率が高かったのですが、今は出なくなっているようです。 もしかしたら広告配信会社が対応したのかもしれません。
1
BugbearR @BugbearR 2018年9月11日
たまーに出てくる、一度出たらその後はおとなしくする、というので、ブラウザのデバッガで追いたくても追えないのが辛い。リダイレクトも含めて、ページの全データをちゃんと残してくれる方法ないんですかね。
1
しわ(師走くらげ)@GW多忙でしんでるマン @shiwasu_hrpy 2018年9月11日
たまに自滅する機能持ちとはいえAdblockを消せない原因がこれなんだよなぁ。何度フ○ッキューファッ○ューしながら強制終了かけたやら。Block導入してから比較的平和だけど棘さん的には良くないのよなーつらみ。
0
K3@FGO残8.0 @K3flick 2018年9月11日
アバストにウイルス認定されたようで、アラートが出るようになったw
0
まうみん @maumin66 2018年9月12日
アプリで見てると出ねえな
0
なふもふ @nafu_mofu 2018年9月12日
まとめを更新しました。 不正広告の配信経路に「Retty」を追加しました。
0
カリソメ @karisomenoaka 2018年9月12日
仕方ないからアプリで見るようにしてみたけど、アプリだとtogecutterでコメ欄ユーザミュートが出来ないんだよなあ…。
0
なふもふ @nafu_mofu 2018年9月14日
まとめを更新しました。 不正広告の配信経路に「Washington Post」を追加しました。
0
なふもふ @nafu_mofu 2018年9月19日
まとめを更新しました。 不正広告の配信経路に「BuzzFeed」を追加しました。 今回はsandbox属性によってリダイレクトはされませんでした。
0
藤吉 @swnfjys 2018年9月21日
最近は「Windowsが破損しています」的なサイトに飛ばされるようになったので悪質度UP
3