いつもお世話になっております。
お仕事中の情シスです。
たまには情シスらしく、セキュリティインシデントに関するお話です。
ウェブブラウザを閲覧する際に表示されるウェブ広告。
鬱陶しいだけで無害なものがほとんどですが、中には画面上に一杯広がって消す場所がわかりにくかったり、詐欺まがいのことをやらかしている悪質なものまであったりします。
昼休みが終わった直後に呼び出しの電話を受けた私は、担当者から開口一番「ウイルスに感染した」という一言に衝撃を受けました。
現場に駆けつけてみると、画面右下の通知に「ウイルスに感染しました!」「マカフィーをインストールしてください!」云々とアラートが出まくっているわけです。
うん、マカフィー君、君自身がウイルスみたいなものだって言う自覚ある?
とりあえず邪魔くさい通知を消す……と、また通知が表示されます。
邪魔くさいので「通知を表示しない」に設定変更をします。
ようやく黙りました。
ざまあ見やがれ。
とりあえず担当者から事情聴取をしてみると、ウェブブラウザ(使用していたのはEdge)から地方自治体のとある書類をダウンロードしてから異常が発生するようになったとのこと。
ブラウザの履歴を色々と確認してみると、出るわ出るわマカフィーとノートンの購入を促すアクセス履歴がずらりと大量に……。
しかも検証のため再アクセスを試みようとすると、404で表示されず。
多分一回だけしかアクセスできないようなプログラムになっているんでしょうかね?
と、その中にふとおかしなものを見つけます。
青いベルのようなアイコンのページで、「許可します」という表示。
あ、これ怪しいな?
色々と調べてみると、そいつが「capzilo.co.in」という、悪質な広告プログラムを表示させまくる原因であることを突き止めました。
ウェブ広告に紛れるような形で表示される「capzilo.co.in」君は、「私はロボットではありません」のチェックを許可するような画面をブラウザいっぱいに表示させてきます。
これをクリックしてしまうとcookieから動作許可を求めるポップアップが表示され、それも許可してしまうと見事に感染するようです。
ひとまずEdgeの設定画面から、通知に関する設定を確認。
「capzilo.co.in」の文字列が刻まれた二つのcookieをぽぽーいと削除!
システムの通知からも「capzilo.co.in」関連の項目が消えたことを確認、無事駆除に成功です。
今回のトラブルの原因である「capzilo.co.in」は、情報漏洩につながるようなクリティカルな危険性はないプログラムでしたが、こういうのを使ってさらに悪質なプログラムを読み込ませようとしたり、色々な商品を買わせようとしたりしてくるので、くーっそ邪魔です。
作ったやつマリアナ海溝の底に沈めばええのに。
ともかく、ウェブ広告の中にはこの手の悪質な存在が割と多く潜んでいます。
広告の管理体制がザルなんですよね。
なので、個人的にはご利用のブラウザに広告を表示させなくする拡張機能を導入することをお勧めしています。
ちなみに私個人としては「uBlock Origin」がお勧め。
ChromeだとGoogleさんが「広告を消したら収入が入んないじゃないかボケェ!」と目の敵にしている都合でインストールする手段が現在なくなっているみたいですが、他のブラウザなら導入可能なようです。
改めてですが、皆様も悪質なウェブ広告には十分お気を付けください。
そして、万が一何かの許可を求めるようなポップアップが表示されても、安易に許可をクリックしないようにご注意を。
お仕事中の情シス