当選詐欺リダイレクト広告の配信経路とメカニズム

まとめました。

なふもふ @nafu_mofu 2018-09-10 15:19:11

最近話題のGoogleを装った当選詐欺サイトにリダイレクトする不正広告を調べてみました。

不正広告の配信経路

なふもふ @nafu_mofu 2018-09-10 15:19:12

まずは不正広告の配信経路から。現時点で確認した配信経路は次のものです。（読み込み順序は番号順）

なふもふ @nafu_mofu 2018-09-10 15:19:12

◆ Togetter 1. pubmatic[.]com 2. advertising[.]com 3. mathtag[.]com 4. aoxmediamarketing[.]com

なふもふ @nafu_mofu 2018-09-10 15:19:12

◆ Engadget 1. blogsmithmedia[.]com 2. aolcdn[.]com 3. atwola[.]com 4. adtechjp[.]com 5. mathtag[.]com 6. aoxmediamarketing[.]com

なふもふ @nafu_mofu 2018-09-10 15:19:13

◆ イザ！ 1. doubleclick[.]net 2. proparm[.]jp 3. adingo[.]jp 4. proparm[.]jp 5. microad[.]jp 6. adtechjp[.]com 7. mathtag[.]com 8. aoxmediamarketing[.]com

なふもふ @nafu_mofu 2018-09-10 15:19:13

◆ 現代ビジネス 1. googletagmanager[.]com 2. tynt[.]com 3. 33across[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com

なふもふ @nafu_mofu 2018-09-10 15:19:13

◆ みんゆうNet 1. adtechjp[.]com 2. mathtag[.]com 3. aoxmediamarketing[.]com

なふもふ @nafu_mofu 2018-09-10 15:19:13

◆ 沖縄タイムス 1. softbank[.]jp 2. genieesspv[.]jp 3. adtechjp[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com

なふもふ @nafu_mofu 2018-09-10 15:19:14

◆ 愛媛新聞ONLINE 1. softbank[.]jp 2. genieesspv[.]jp 3. adtechjp[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com

なふもふ @nafu_mofu 2018-09-10 15:19:14

◆ 福井新聞ONLINE 1. softbank[.]jp 2. genieesspv[.]jp 3. adtechjp[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com

なふもふ @nafu_mofu 2018-09-10 15:19:14

aoxmediamarketing[.]com が悪質なスクリプトを配信しているサーバーです。 aoxmediamarketing[.]com はどれも mathtag[.]com から配信されているのが分かります。

不正広告の動作

なふもふ @nafu_mofu 2018-09-10 15:19:14

次に不正広告の動作について。不正広告は主に3個のローダーと1個のリダイレクターによって構成されています。

なふもふ @nafu_mofu 2018-09-10 15:19:15

◆ ローダー1 ・ユーザーエージェントから実行環境を検出して結果を"ローダー2"のURLパラメーターに追加・"ローダー2"のURLを生成して読み込み

なふもふ @nafu_mofu 2018-09-10 15:19:15

◆ ローダー2 ・ブラウザのフィンガープリントを作成して"JSONファイル"のURLパラメーターに追加・"JSONファイル"のURLを生成してダウンロード・"JSONファイル"から広告データを取り出して広告を表示・"JSONファイル"から"ローダー3"のJSコードを取り出して実行

なふもふ @nafu_mofu 2018-09-10 15:19:15

◆ ローダー3 ・デバッガーを検出して結果を"リダイレクター"のURLパラメーターに追加・"リダイレクター"のURLを生成して読み込み

なふもふ @nafu_mofu 2018-09-10 15:19:16

◆ リダイレクター・当選詐欺サイトに強制リダイレクト

なふもふ @nafu_mofu 2018-09-10 15:19:16

◇ 補足・一定時間内に同一環境からアクセスした場合は"JSONファイル"に"ローダー3"のコードが含まれなくなる・そのため、リダイレクトは行われずに広告が表示されるのみとなる・これは不正広告の特定と解析を妨害するためと思われる

リダイレクトの仕組み

なふもふ @nafu_mofu 2018-09-10 15:19:16

最後にリダイレクターのコードを見ていきます。

なふもふ @nafu_mofu 2018-09-10 15:19:16

1枚目がオリジナル 2枚目がコードを整形したもの 3枚目がコードを可読化したもの pic.twitter.com/tFVboRcRVX

拡大

なふもふ @nafu_mofu 2018-09-10 15:19:17

アンチウィルスの検出を逃れるためか難読化されています。コードの内容は単純で、11秒後に window .top .location でリダイレクトしているだけです。

なふもふ @nafu_mofu 2018-09-10 14:46:09

pic.twitter.com/7e4ASulktf

拡大

当選詐欺リダイレクト広告の配信経路とメカニズム

まとめ

あわせて読みたい

いま話題のおすすめまとめ

停電してもスマホをフル充電できる！ 災害時に役立つソーラ..

災害時のモバイルバッテリーにマキタの電動工具用1860バ..

『関西空港7日再開』報道に関空従業員が激怒、「勝手な絵空..

台風21号の猛威により関西各地が崩壊「布団が吹っ飛ぶ」「..

台風なのに宅配ピザを頼む人はなんなのか、配達に行かせる店..

セイコーマート『停電でもホットシェフはガスだからおにぎり..

「千羽鶴」という単語を９ヶ月全件監視し続けて気づいたこと..

福岡の高校の体育祭で生徒36人が低体温症で緊急搬送、原因..

「般若が変身途中の中間形態だとは今まで知らなかった」→「..

台風21号の影響で京都駅の天井崩落、関空水没など関西が大..

「泊原発が稼働してれば回避できた」とは言えない北海道電力..

2018年台風21号大阪府周辺停電情報

いま話題のタグ

コメント

「IT・Web」の人気まとめ

builderscon tokyo 2018 のまとめ【..

「教えといてや〜こんな場所があったなら〜」オフ会やパーテ..

「旦那さんの従姉妹から教えてもらった『+メッセージ』 ほ..

深夜？早朝？のモデリング講座

台風21号被害の関西国際空港で、中国のスマホや電話だけは..

当選詐欺リダイレクト広告の配信経路とメカニズム

「IT・Web」の新着まとめ

さくらインターネットの北海道胆振東部地震についてのツイー..

Out Of Warranty | NY's Cell ..

彼女のイニシャル、自分の背番号… 学生時代のこだわりメー..

Amazonのレビューで「まだ使ってないけど☆3つ」とか..

Qt勉強会 @ Tokyo # 62

情報銀行は、クラウド環境における機密情報管理問題、ユビキ..

公式アカウント

デブサミ福岡2018【B-6】スーパーエンジニアを「育て..

デブサミ福岡2018【A-4】大手クラウドベンダーのガチ..

デブサミ福岡2018【B-4】VR/AR/MRって何？―..

ROHM OPEN HACK CHALLENGE 201..

デブサミ福岡2018【A-5】Y!Jカード天神チームの立..

デブサミ福岡2018【B-5】The Amazon Wa..

まとめマイスター

北海道こそ「食べて応援」？／『日本の食糧自給率を牽引して..

古代世界のギリシャ、ローマも極彩色の世界だった

シンガポールのASTRIDE BIONIX社の開発した「..

『テレ東、大坂なおみさんに「中畑清ですが分かりますか？」..

世界を変えた書物展をより楽しむために。

ジャンププラスで連載中の終末のハーレム-FANTASIA..

ランキング リアルタイム 24時間

急上昇した注目キーワード

オススメまとめ

みんなのコメント 注目コメント 新着

ツイッターの話題をいち早くお届け！

停電してもスマホをフル充電できる！災害時に役立つソーラ..

「旦那さんの従姉妹から教えてもらった『+メッセージ』　ほ..

ランキング
リアルタイム 24時間

みんなのコメント
注目コメント新着