普段のブラウジングから派手な懸賞へと自動的にリダイレクトされる広告は、長らくインターネットの厄介な存在でした。しかし、モバイルウェブ上で進化を遂げた広告は特に厄介で、ポップアップの「通知」に閉じ込められ、どこにも行けない状態に陥ることがあります。そして最近、評判の良いサイトでさえも、こうしたモバイルポップアップ広告が急増し、人々はこれまで以上に苛立ちを募らせています。
これらのリダイレクトは、Chromeなどのモバイルブラウザを使用しているとき、あるいはFacebookやTwitterなどのサービスを利用してアプリ内ブラウザでページを開いているときに、突如として現れることがあります。ニュース記事を読み込んでいる最中に、突然、邪魔な広告から逃れようとするような状況に陥ってしまうのです。こうした広告リダイレクトが、かつてのように怪しげな僻地で蔓延していたのに、今では事実上あらゆるブラウザやアプリでいつでも見られるようになっているのはなぜでしょうか?それは、リダイレクトを引き起こす可能性のあるJavaScriptコンポーネントについて、広告の送信を適切に審査していないサードパーティの広告サーバー、あるいは怪しいコードを隠した一見無害そうな広告に騙されてしまうサーバーです。
WIREDは金曜日、Twitter iOSアプリで通常のブラウジング中にポップアウトリダイレクト広告に遭遇した。
リリー・ヘイ・ニューマン「こうしたポップアップ広告は新しい戦術ではありません。少なくとも6~9ヶ月前から存在していました。しかし、人々がこの件について語り始めているのは、非常に良いことだと思います。なぜなら、これは問題だからです」と、PhishLabsの脅威インテリジェンス・マネージャーで、以前はFBIのデジタル行動分析官として働いていたクレイン・ハッソルド氏は語る。「リダイレクト広告には様々な効果があり、中には単に迷惑なものもありますが、過去にはユーザーのマシンにマルウェアを仕込むリダイレクト広告も確認されています。脅威アクター側も進化と適応を遂げていくでしょう。」
このようにブラウザを乗っ取る広告は、ソフトウェアの脆弱性を悪用するものではないため、厳密にはハッキングとは言えません。攻撃者がリダイレクトJavaScriptを含む広告を送信・実行する能力に依存しているのです。モバイル広告のリダイレクトは、まだウェブユーザーにとって重大な脅威ではありませんが、攻撃者にとっての足掛かりとなる可能性があります。また、有名で合法的なサイトを閲覧している最中にもリダイレクトに遭遇するため、攻撃者には隠れる場所がありません。広告によっては「戻る」ボタンをブロックしたり、閉じようとしてもリダイレクトし続けたりするように設計されているものもあり、ブラウザを再起動しない限り、そこから抜け出すのは困難です。
「広告がこれほど広範囲に広がり、一流出版社に掲載されているのは新しいことだと思います」と、ソフトウェアエンジニアリング会社Fog CreekのCEO、アニル・ダッシュ氏は語る。「かつてはこうした広告はゴミサイトに押し込められていたのに、今ではニューヨーク・タイムズ紙にも掲載されているのです。」
TwitterアカウントSwiftOnSecurityが週末にThe Atlanticに対し、強引な広告リダイレクトについて質問したところ、ワシントン支局長のヨニ・アッペルバウム氏は、悪質な広告の阻止に取り組んでいると回答しました。ただし、これは特定の出版物を非難するものではありません。これは無数のサイトに影響を与える問題であり、解決策は未だ見つかっていません。
パブリッシャーは特に脆弱です。なぜなら、収益をサードパーティの広告ネットワークに依存することが多いからです。その結果、特定の広告ネットワークの提供する広告に翻弄されてしまう可能性があります。たとえパブリッシャーが信頼できるサービスのみを利用していたとしても、それらの広告ネットワーク自身が騙される可能性があります。
「広告購入者は十分な審査を受けていないようで、JavaScriptコードの実行に関してあまりにも大きな自由を与えられているようだ」と、iOSセキュリティ研究者でSudo Security Groupの社長であるウィル・ストラファック氏は述べている。「広告取引所には、より厳格な審査プロセスを設け、この種の攻撃的なコードを取り締まるよう期待したい」
その間、ポップアップ広告を回避するためにモバイル広告ブロッカーをインストールすることができます。また、ブラウザには悪意のある侵入を制限するための保護機能がますます組み込まれています。例えば、Googleは11月に、不要なリダイレクトに対処するための専用ツールをChromeに追加すると発表しました。
しかし、ほとんどの広告ブロックサービスは依然として悪質なサイトの「ブラックリスト」を生成することに依存しており、攻撃者が先手を打つために使用する急速な変化に対応するのは困難です。
「悪質なウェブサイトとして知られているものは、現在ブラックリストを上回っているようだ」とストラファック氏は述べ、最善の長期的解決策は広告ネットワークがコンテンツをより積極的に審査し、苦情にもっと敏感になることだと示唆しているが、これはおそらく財政的圧力なしには実現できないだろう。
「議論を変える必要があると思う。これは広告費によって可能になる、出版社に対する攻撃だ」とダッシュ氏は言い、モバイル リダイレクトによってユーザーのコンテンツへのアクセスが遅れたり、コンテンツの読み込み自体を躊躇させたりすると指摘した。
幸いなことに、多くのプラットフォームはこれらの問題を認識しており、既にこの種の広告行為を明確に禁止しています。例えば、Google広告ネットワークは「ユーザーが要求したコンテンツの表示を妨げるポップアップやインタースティシャル、およびブラウザの戻るボタンを無効化または妨害するサイト」を禁止しています。しかし実際には、悪質なリダイレクトは依然として潜り込んでいます。
ですから、次にニュースを読んでいる最中に、突然ブラックジャックをするように誘う奇妙な通知やポップアップが表示されたら、それはあなたのスマートフォンやあなたの問題だけの問題ではないことを思い出してください。モバイルリダイレクトはシステム的な問題であり、大規模な対策が必要です。しかし、当面は、何もクリックしないでください。
ポップ・ゴーズ・ザ・バッド広告
- ポップアップに悩まされていませんか? Chrome の次期バージョンで修正が予定されています。
- ほとんどの広告ブロッカーはブラックリストに依存して悪質な行為者をブロックしていますが、Ghostery は最近 AI を導入して優位に立っています。
- ポップアップが危険だと思うなら、あなたの目の前で起こっているクリプトジャッキングの実態を思い知るまで待ってください。
