まとめの限定公開に「リンク限定」が追加されました。URLを伝えてまとめを共有しよう!
214
なふもふ @nafu_mofu
最近話題のGoogleを装った当選詐欺サイトにリダイレクトする不正広告を調べてみました。
不正広告の配信経路
なふもふ @nafu_mofu
まずは不正広告の配信経路から。 現時点で確認した配信経路は次のものです。(読み込み順序は番号順)
なふもふ @nafu_mofu
◆ Togetter 1. pubmatic[.]com 2. advertising[.]com 3. mathtag[.]com 4. aoxmediamarketing[.]com
なふもふ @nafu_mofu
◆ Engadget 1. blogsmithmedia[.]com 2. aolcdn[.]com 3. atwola[.]com 4. adtechjp[.]com 5. mathtag[.]com 6. aoxmediamarketing[.]com
なふもふ @nafu_mofu
◆ イザ! 1. doubleclick[.]net 2. proparm[.]jp 3. adingo[.]jp 4. proparm[.]jp 5. microad[.]jp 6. adtechjp[.]com 7. mathtag[.]com 8. aoxmediamarketing[.]com
なふもふ @nafu_mofu
◆ 現代ビジネス 1. googletagmanager[.]com 2. tynt[.]com 3. 33across[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com
なふもふ @nafu_mofu
◆ みんゆうNet 1. adtechjp[.]com 2. mathtag[.]com 3. aoxmediamarketing[.]com
なふもふ @nafu_mofu
◆ 沖縄タイムス 1. softbank[.]jp 2. genieesspv[.]jp 3. adtechjp[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com
なふもふ @nafu_mofu
◆ 愛媛新聞ONLINE 1. softbank[.]jp 2. genieesspv[.]jp 3. adtechjp[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com
なふもふ @nafu_mofu
◆ 福井新聞ONLINE 1. softbank[.]jp 2. genieesspv[.]jp 3. adtechjp[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com
なふもふ @nafu_mofu
◆ Retty 1. rubiconproject[.]com 2. 33across[.]com 3. mathtag[.]com 4. aoxmediamarketing[.]com
なふもふ @nafu_mofu
◆ Washington Post 1. washingtonpost[.]com 2. indexww[.]com 3. advertising[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com
なふもふ @nafu_mofu
◆ BuzzFeed 1. buzzfeed[.]com 2. rubiconproject[.]com 3. mathtag[.]com 4. aoxmediamarketing[.]com ※ sandbox属性によってリダイレクトは阻止された
なふもふ @nafu_mofu
aoxmediamarketing[.]com が悪質なスクリプトを配信しているサーバーです。 aoxmediamarketing[.]com はどれも mathtag[.]com から配信されているのが分かります。
不正広告の動作
なふもふ @nafu_mofu
次に不正広告の動作について。 不正広告は主に3個のローダーと1個のリダイレクターによって構成されています。
なふもふ @nafu_mofu
◆ ローダー1 ・ユーザーエージェントから実行環境を検出して結果を"ローダー2"のURLパラメーターに追加 ・"ローダー2"のURLを生成して読み込み
なふもふ @nafu_mofu
◆ ローダー2 ・ブラウザのフィンガープリントを作成して"JSONファイル"のURLパラメーターに追加 ・"JSONファイル"のURLを生成してダウンロード ・"JSONファイル"から広告データを取り出して広告を表示 ・"JSONファイル"から"ローダー3"のJSコードを取り出して実行
なふもふ @nafu_mofu
◆ ローダー3 ・デバッガーを検出して結果を"リダイレクター"のURLパラメーターに追加 ・"リダイレクター"のURLを生成して読み込み
なふもふ @nafu_mofu
◆ リダイレクター ・当選詐欺サイトに強制リダイレクト
なふもふ @nafu_mofu
◇ 補足 ・一定時間内に同一環境からアクセスした場合は"JSONファイル"に"ローダー3"のコードが含まれなくなる ・そのため、リダイレクトは行われずに広告が表示されるのみとなる ・これは不正広告の特定と解析を妨害するためと思われる
リダイレクトの仕組み
なふもふ @nafu_mofu
最後にリダイレクターのコードを見ていきます。
なふもふ @nafu_mofu
1枚目がオリジナル 2枚目がコードを整形したもの 3枚目がコードを可読化したもの pic.twitter.com/tFVboRcRVX
 拡大
 拡大
 拡大
残りを読む(3)

コメント

夢浦忍 @Y_SINOBU 2018-09-10 15:48:38
Togetter 見てても時々出てくるんだよなあ、この当選詐欺画面
yositosi @yositosi 2018-09-10 15:52:45
まとめありがとうございます。mathtag[.]com が問題だったんですね。アドネットワークにmathtagを利用している事業者を停止するように連絡しました。
yositosi @yositosi 2018-09-10 15:53:18
「デバッガーを検出して結果を"リダイレクター"のURLパラメーターに追加」ということは、デバッガーがONだとリダイレクトされないようにしているということですか?
なふもふ @nafu_mofu 2018-09-10 16:06:40
yositosi デバッガーは使用せずFiddlerでログを取りながら調べていたのでデバッガーを使っている場合にどうなるかは分かりません。 ただ、調べ始めた当初にVivaldiで開発者ツールを開いてる状態でもリダイレクトはされました。
なふもふ @nafu_mofu 2018-09-10 16:09:55
デバッガーの判別コードには selenium, phantom, devToolsOpened, sandboxed, portsOpened とあります。
🍤💨の沼海老 @mtoaki 2018-09-10 16:17:41
Y_SINOBU 対策したみたいな事言ってたのに、いまだにしょっちゅう出てくる。
羽倉田 @wakurata 2018-09-10 17:14:40
mtoaki 新しい対処したんで止まってほしいってツイートしてましたけどねw 残念ながら直ってないんだよなぁw https://twitter.com/togetter_jp/status/1039060832921907201
羽倉田 @wakurata 2018-09-10 17:18:33
コメント欄にタイプし始めて数文字くらいで当選画面に飛ぶものだからアラートにEnter押したことになってしまって何かしら情報抜かれてるので本当に困る
@D9hV1M7YOI3PZCj 2018-09-10 17:20:44
NoScriptみたいなので自衛するしかないかなぁ
ルカ_( ‘ᾥ’ 」∠ )_ @Luca_Maud1125 2018-09-10 18:31:10
JavaScript経由でのリダイレクトをブロックできればなぁ・・・。 クライアントスクリプト経由のリダイレクトって9割ぐらいロクな代物じゃないでしょ。
yositosi @yositosi 2018-09-10 18:57:07
iframeの中から、window.top.locationを叩けるようになっているのが、そもそもの実装上の考慮漏れだと思う。広告用のiframeにsandboxの属性つけるような業界標準にしてくれないですかね?
はくしんかわ @sato231031 2018-09-10 19:04:20
当選詐欺画面を閉じようとすると閉じれないように仕込まれるし悪質すぎる。
深月スカルチノフ🌔 @Key_Hukatuki 2018-09-10 20:02:06
ublock originユーザーのワイ高みの見物
おきぐすり @1985oronine666 2018-09-10 20:04:01
とげったでよく引っかかるから何とかしてほしい_(:3」∠)_
牧島師狼 @bokushisan 2018-09-10 20:17:26
このまとめを読もうとしたまさにその瞬間飛ばされてしまった……
K3@FGO残1.0 @K3flick 2018-09-10 21:38:59
この広告かなり悪質なので排除してほしいな・・・
石川和男 @ishikawakazuo 2018-09-10 21:42:34
こいつかぁ。実に鬱陶しい当選詐欺広告。
SAKURA87@多摩丙丁督 @Sakura87_net 2018-09-10 22:09:11
この手の広告はいたちごっこで排除しても排除してもゴキブリのごとく沸いてねずみ算式に広がっていくから、どこもかしこもお手上げ状態なんだろうなぁ。っていうか広告業者がアニメGIFの画像表示とAタグによるリンク以外を禁止すればみんな幸せになるんだよなぁ。
ディー @DDcmdd 2018-09-10 22:17:07
強制画面遷移系の広告、戻るで戻らせてくれず一回タブ閉じるしかないのが鬱陶しい
♡ゆるゆるゆめかわおじさん♡ @momochi_A58RG 2018-09-10 22:22:49
このまとめのコメント見てたら飛ばされたのは何かのギャグだろうか
🍤💨の沼海老 @mtoaki 2018-09-10 22:25:05
結局これはtogetterがどうにかすべきなの? 広告業者がどうにかすべきなの?
RGB000 @19666_61 2018-09-10 22:49:31
これがあるうちは広告ブロッカー使わせていただきますわ
82式後藤 @type82gotoh 2018-09-10 23:09:53
上コメにもあるけど、このまとめ読んでたらその当該悪質広告に飛ばされて爆笑してしまった。
カリソメ @karisomenoaka 2018-09-10 23:16:00
まさに今飛ばされた。1Pしか開かれてなさそうだったのに直後に履歴欄を見たら「おめでとうございます!」が5個くらい並んでたので驚いたけどリダイレクト祭りだったのかな。
カリソメ @karisomenoaka 2018-09-10 23:19:34
身体を電波化させてネットを逆走しスパム業者に辿り着きPCごと爆殺するアメコミヒーロー出てきてほしいわ。
かもかも @kamokamotw 2018-09-10 23:35:21
せっかくURL出してくれたんだしこれ全部ブロックすればええんじゃろ ほーれhostでlocalhostじゃ
席上 @Nonsomnia 2018-09-11 00:55:55
結局なんの情報が抜かれてんだろうねこれ。それともプラグイン的なものでも仕込まれてるんだろうか
coilcoils @coilcoils 2018-09-11 03:52:18
俺の環境だと出ないな。必要がない場合はシークレットモードでネット観る習慣付けしているから、不正広告が表示されないから?でも油断は禁物ですな。
にににry @for_registratio 2018-09-11 07:30:04
いつまでもそう小さくないサイトでも広告から廃除されないのは特定しきれないからなのかね?
おやすみ💜(菜箸栽培士) @oyasuminet_00 2018-09-11 08:27:15
for_registratio アドネトがどこから広告を引っ張ってるかは サイト側では承知していないので不穏な代理店と契約してる 中上位アドネトを使わないことぐらいしか対策しようがなく ASP変えてもいつの間にからしいです GoogleAdもYahooADも切ると・・・自前で広告集めるしか
おやすみ💜(菜箸栽培士) @oyasuminet_00 2018-09-11 08:35:08
脱獄してないiPhoneでも 設定→一般→機能制限→Webサイト→アダルトコンテンツを制限→常に禁止→Webサイトを追加 でHostsファイルぽいはじき方は出来ます。許可するサイト求められるたびにPINコード入れる手間はありますけど
🍤💨の沼海老 @mtoaki 2018-09-11 08:40:03
oyasuminet_00 広告配信業者が対応できない(しない)という事は良識あるサイト運営者とすれば「WEB広告を使わない」以外の解決法はないって事か。
葵真碧(mao aoi) @maochin39blue 2018-09-11 09:47:38
正直、件の広告が出るようになってからPCで棘見るのをやめて、スマフォのアプリで見てる。治ったかなと思って今日PCで見たらまたなってたね。
深月スカルチノフ🌔 @Key_Hukatuki 2018-09-11 09:50:59
iPhoneならアドガとかDNScloakがおすすめ
にににry @for_registratio 2018-09-11 09:59:02
oyasuminet_00 サイト側としてはまともな広告代理業者(ある?)を使うようにする、それでも混ざり込むことはあるって感じすかね。
おやすみ💜(菜箸栽培士) @oyasuminet_00 2018-09-11 10:45:58
リダイレクト中にアドフラウドしてることもあるので https://togetter.com/li/1084353  +VPN系のアドブロッカーはそれはそれで通信を全部渡すことになるし
[74]Kirara @Kirara1314 2018-09-11 11:09:56
直接は関係ないんだけど強制的に動画再生するタイプの広告も逝ってほしい今日この頃。BGMが突然変異消えてウザいんだよ
河田直美 @gyro_m111 2018-09-11 11:23:07
outlook.com 使用時にも似たような当選詐欺リダイレクト広告が表示されたことがあります。
ざの人(トギャッター用垢) @zairo2016 2018-09-11 11:48:47
yositosi これまじ運営に文句言おうと思ってたのだけど、気にはしてたけど運営でも対策が見つからなかったですね(大汗、 ソレが見つかって何よりです。  ほんとうっとおしかったので。
ざの人(トギャッター用垢) @zairo2016 2018-09-11 11:53:07
先週、クローズアップ現代プラスで、電通も把握できていない。まとめサイト エロサイトの本来なら表示されない広告の問題、 AD広告の問題が報告され、NHKはソレらしき業者までたどり着くが、公開しないから、ということは?アドオンで ADブロッカーのような、それらをターゲットとした広告が出ないものを用意するしか無いんですかね?
ざの人(トギャッター用垢) @zairo2016 2018-09-11 11:58:36
for_registratio だからその中に電通が入っていて、電通も困っている状態だから、つまり巧妙にぶら下がってる下請け業者がいて、潜在的に分散させる。それを公表するには特定できずに至っていないから起こっている問題がある。それを法律で規制できないから、その部分の強制捜査権と業者名を明かす法律とおもうのだけど、現代ではあくまで「疑わしい段階」でしかなく、その段階規制だと?特定できないし、もしなりすまし偽装された冤罪だったら?という問題も多くはらんでいる模様。
ざの人(トギャッター用垢) @zairo2016 2018-09-11 12:04:08
Key_Hukatuki 本当にそれで通用するのか、試してみることにしますわ。今導入した。
ざの人(トギャッター用垢) @zairo2016 2018-09-11 12:09:21
Key_Hukatuki おおすげえ、ここで指摘されたサイトはことごとく、まだ率祖化されていないところも登録してブロックできそう。  uBlock Origin は、このページの読み込みをブロックしました。と  処理してくれる模様。 棘の指摘された問題サイト2つはブロックされた。これならいけるかも?
ざの人(トギャッター用垢) @zairo2016 2018-09-11 12:10:00
率祖化されていない ☓ リスト化されていない◎
にににry @for_registratio 2018-09-11 12:12:02
zairo2016 広告の方式を根本から変えないと駄目なのかもですねぇ。 今は(たぶん)広告の実コンテンツ自体は、代理業者は持たず、そちらを取りに行かせるようなhtml/javascript記述を返してる、よね。それを広告枠で表示するコンテンツの全てを代理業者のサーバに置くようにするとか。悪意のない広告主的には柔軟性低くなるだろうけど。
ざの人(トギャッター用垢) @zairo2016 2018-09-11 12:17:24
ublock origin のアイコンの動きを見てると? リロードすると 4だった数字が7に跳ね上がる。時間経過とともに流してくるパターンも有るということなんだろうか?最初は何もなしに偽装、タイムラグで時間差で仕掛けてくるという高度な仕組み。それにも対応している感じがする。 (リ)ロードしたばかりだと反応しないけど、見てるうちに、いつの間にか飛ばされるというのも対応してるのかー、そこもすごいな。
ざの人(トギャッター用垢) @zairo2016 2018-09-11 12:28:16
for_registratio 広告だけのサーバーを一括管理すれば?って話でしょ。でもさすがに電通でも出来ないのは一箇所数中は管理しやすいけど処理が追いつかないという問題があるから、1企業が持つサーバーの処理能力を上げるにも限度があるし、今のネットの技術は、その中間を請け負うプロキシサーバー専門業者 Cloudflare とかががいるから成り立っている現状もあるから、基本的には ブロックプログラムを用いて、リストを更新して対応が望ましいとは思いますね。
深月スカルチノフ🌔 @Key_Hukatuki 2018-09-11 12:32:51
zairo2016 uブロはそのまんまでも使えないことはないけど、デフォにある日本語フィルタは誤爆が多いからカットした方が吉。 参考にどぞ(フィルタ一覧もある) https://wikiwiki.jp/nanj-adguard/
深月スカルチノフ🌔 @Key_Hukatuki 2018-09-11 12:33:55
デフォのまんまだと通報できなくなるし、入れないサイトがあるからね。
深月スカルチノフ🌔 @Key_Hukatuki 2018-09-11 12:42:11
uブロとかの広告ブロッカー入れておけばまとめにあるようなことが無くなるだけでなく見た目がスッキリするし、つべの広告(クッソうっざいあべりょうの歌含め)を見ずに済む。 その分のデータも節約できる。 いいゾ〜これ
ざの人(トギャッター用垢) @zairo2016 2018-09-11 12:42:29
ただこの問題は 運営としては、広告ブロッカーを使ってくださいとは 立場的にはいえないのよね。 なぜならその広告で収入を得ているのだから(爆
ざの人(トギャッター用垢) @zairo2016 2018-09-11 12:44:22
Key_Hukatuki 見たけど なんJ民 と書いてあるところにすごく抵抗があり、素直に導入しようとは思えない(大汗 なぜならその連中が多くの活動家のアカウントを廃止に追いやる運動を行っているから。
深月スカルチノフ🌔 @Key_Hukatuki 2018-09-11 12:48:22
zairo2016 ワイもネトウヨ動画BAN騒動の余波でなんJ 民にひどい目に合わされたことがあったけど、広告ブロッカーのうまい使い方を知ることができたからおあいこって事にしてる。 (荒らしたことを許したとは言ってない)
深月スカルチノフ🌔 @Key_Hukatuki 2018-09-11 12:50:16
Key_Hukatuki なんJ民もフィルタ作ってるけど、いろんなフィルタ一覧があるので一見の余地はある
やまだ @eien0213 2018-09-11 12:55:20
ここでは、まだ一度もないな。ホントにあるの?
FX-702P @fx702p 2018-09-11 13:14:28
PCでみた時に出てきたことはないけど、togetterに限らずスマホでWEB見てると結構出てくる。
冶金 @yakeen4510 2018-09-11 14:37:06
見たことないなぁ…。
Nicholai MARO @MAROCKs 2018-09-11 15:14:32
僕はtrafficads.netとの通信を出来ないように発と宛の双方でルーターのポートでパケットを廃棄設定にしている。だから詐欺ページそのものがもう表示されない。数時間前に棘でもこの詐欺ページへのリダイレクトの要求が確認できた。通信出来ないのでタイムアウト後にブラウザは「ページがない」を表示する。棘が「対策している」と言っていてもまだまだ詐欺ページへリダイレクトされる人は多い様子。
Nicholai MARO @MAROCKs 2018-09-11 15:17:47
本まとめでも「リダイレクトが確認できたサイト」の記載があるように、案外と著名なサイト複数で発生している。だからこれからも不特定多数のサイトで起こりえる。どのサイトの広告から詐欺サイトページ(これも同じで在のものが複数確認できている)にリダイレクトされるか不明なので、詐欺サイトそのものとの通信をしないようにした。
Simon_Sin @Simon_Sin 2018-09-11 18:20:52
つまりtogetterを閲覧するときは広告をブロックすればいいという認識でよろしいですか?
なふもふ @nafu_mofu 2018-09-11 18:35:07
地方紙のサイトは不正広告の出現率が高かったのですが、今は出なくなっているようです。 もしかしたら広告配信会社が対応したのかもしれません。
BugbearR @BugbearR 2018-09-11 21:00:08
たまーに出てくる、一度出たらその後はおとなしくする、というので、ブラウザのデバッガで追いたくても追えないのが辛い。リダイレクトも含めて、ページの全データをちゃんと残してくれる方法ないんですかね。
しわ(師走くらげ)@聚楽第凸中(1周済) @shiwasu_hrpy 2018-09-11 23:10:57
たまに自滅する機能持ちとはいえAdblockを消せない原因がこれなんだよなぁ。何度フ○ッキューファッ○ューしながら強制終了かけたやら。Block導入してから比較的平和だけど棘さん的には良くないのよなーつらみ。
K3@FGO残1.0 @K3flick 2018-09-11 23:23:36
アバストにウイルス認定されたようで、アラートが出るようになったw
まうみん @maumin66 2018-09-12 00:50:00
アプリで見てると出ねえな
Tom C @amainau 2018-09-12 03:16:12
「事件現場にコナン君がいたから、コナン君が犯人に違いない」と言っているに等しい可能性ないかこれ?
なふもふ @nafu_mofu 2018-09-12 13:59:59
まとめを更新しました。 不正広告の配信経路に「Retty」を追加しました。
カリソメ @karisomenoaka 2018-09-12 22:41:35
仕方ないからアプリで見るようにしてみたけど、アプリだとtogecutterでコメ欄ユーザミュートが出来ないんだよなあ…。
なふもふ @nafu_mofu 2018-09-14 14:41:01
まとめを更新しました。 不正広告の配信経路に「Washington Post」を追加しました。
なふもふ @nafu_mofu 2018-09-19 05:12:22
まとめを更新しました。 不正広告の配信経路に「BuzzFeed」を追加しました。 今回はsandbox属性によってリダイレクトはされませんでした。
藤吉 @swnfjys 2018-09-21 23:51:34
最近は「Windowsが破損しています」的なサイトに飛ばされるようになったので悪質度UP
ログインして広告を非表示にする
ログインして広告を非表示にする