ネット広告は、時に煩わしく、時に危険な存在です。広告販売で収益を得ている企業は、広告を見てもらおうと、ついやり過ぎてしまうことがあります。最近の調査(英語記事)で、このような企業の1つ(大手のデジタルマーケティング代理店)が世界各地のWindowsおよびmacOS搭載コンピューター2億5000万台に、アドウェアをインストールしていることがわかりました。
それだけでなく、このアドウェアは、コンピューター利用者を悪意あるサイトに誘導してコンピューターにマルウェアをダウンロードするという、本格的なマルウェアになりうる能力を備えています。そして、つい最近まで誰もこのことに気づいていなかったと見られます。
忍び寄るFireball
アドウェアは、広告を表示したり、利用者のプロファイル分析や広告代理店へ売り渡すことを目的にデータ収集したりする、一種のソフトウェアです。広告代理店はこのデータを基に、Webページを訪れる人に適した広告を表示します。アドウェアがコンピューターに侵入する手段としてよくあるのは、他のソフトウェアにバンドルされるパターンです。アドウェアの作成者は喜んでバンドル費用を支払いますから、フリーウェア開発者の中には、収入源として自分の製品にアドウェアをバンドルしたがる人もいます。
しかし、バンドルの方法は、開発者によってかなり違いがあります。普通は、インストールしようとしているソフトウェアと一緒に別のソフトウェアもインストールされることが通知されますが、問題のアドウェア「Fireball」の場合はこのような通知が表示されず、インストールを拒否する機会もありません。ただ、こっそりとインストールされてしまうのです。ここで重要なのは、バンドルされたFireballが、必ずしもフリーウェアと同時にインストールされるわけではないことです。フリーウェアをインストールした人の警戒心がやや緩んだところで、Fireballがインストールされる可能性があります。
親戚のPCにわんさか入っていた #アドウェア を駆除する羽目になった弊社ライターがおくる、アドウェア退治とインストール防止のヒント! http://t.co/KK9hrnKsGi pic.twitter.com/IHIWb0BEW2
— カスペルスキー 公式 (@kaspersky_japan) January 30, 2015
Fireballはブラウザーハイジャッカーと呼ばれるものの一種で、意図されたとおりにブラウザーを改ざんします。具体的には、ホームページや既定の検索エンジンを変更するほか、この変更に気づいて設定を元に戻そうとしてもその操作をさせない、などの挙動を見せます。Fireballが既定として設定する偽の検索エンジンには、マーケティング目的で利用者データを収集するトラッキングピクセルが含まれています。また、Fireballは感染したコンピューター上でコードを実行し、ブラウザー拡張機能などのソフトウェアをダウンロードする能力も備えています。
興味深いことに、Fireballは悪意ある性質を持っているにもかかわらず、正規のデジタル証明書で署名されていて、無害のように見えます。さらに、検知逃れの技術が実装されているため、セキュリティ製品で検知してマルウェアと判定するのは困難です。こうした事情から、しばらくの間、誰もアドウェアの拡散に気づきませんでした。Fireballは正規のアプリにしか見えないのです。
Fireballが危険である理由
トラッキング機能を持つ広告が表示されることで、煩わしく思うことはあっても、危険とは感じないかもしれません。しかし、Fireballにはブラウザー拡張機能をダウンロードしてインストールし、感染デバイス上でコードを実行する能力があるため、完璧なバックドアとしてさまざまな用途に使えます。危険な用途として考えられるのは、コンピューターに悪質な何かをダウンロードして重要情報を集めること、または、デバイスをさまざまなマルウェアに感染させることです。
Fireballを発見した調査チームによると、Fireballに感染したデバイスは世界中ですでに2億5000万台を越え、企業ネットワークの5つに1つでFireballが発見される可能性があります。Fireballの作成者たちがFireballをスパイ活動に利用すると決めるなどしたら、世界規模の大惨事になりかねません。
感染の有無を確認するには
Fireballは人目につかないように隠れていますが、見つけるのはさほど難しくありません。ブラウザーを開いてホームページを見てください。表示されるのは、あなたが設定したホームページですか?既定の検索エンジンも、あなたが設定して普段使っているものでしょうか?設定を変更して、ホームページや既定の検索エンジンを別のものに変えることはできますか?これらの質問に対する答えが1つでも「いいえ」だったら、Fireballか、何か別のものに感染している可能性があります。
何の問題もなく設定を変更でき、ホームページや既定の検索エンジンが特に変更されていないのであれば、とりあえずはFireballに感染していないと考えてよさそうです。しかし、念のためウイルススキャンの実行をお勧めします。用心に越したことはありません。
火の玉vs.魔法の盾
ロールプレイングゲームをしたことがある人ならわかると思いますが、火の玉(Fireball)に効き目のあるアイテムは魔法の盾です。今回のケースでは、優れたセキュリティ製品が魔法の盾の役割を果たします。
世の中にはさまざまなセキュリティ製品があります。カスペルスキー製品の場合だと、カスペルスキー インターネット セキュリティ(カスペルスキー セキュリティのWindows対応プログラム)に、不要と思われるプログラムのインストールを拒否する「システム変更コントロール」機能があります。この機能が有効になっていると、何者かがアドウェアをインストールしようとしたときに、カスペルスキー インターネット セキュリティがその操作を検知してブロックします。「システム変更コントロール」機能については、こちらをご覧ください。