10313510

引用元: ・【広告】「niconico」見ている人にFlashの更新を促す偽メッセージ、実はマルウェア [2014/06/20]

1: 夜更かしフクロウ ★ 2014/06/22(日) 21:29:43.46 ID:???.net
http://internet.watch.impress.co.jp/docs/news/20140620_654332.html

 動画サービス「niconico」において6月19日未明から、Flash Playerの更新を促す通知に見せかけて、
マルウェアをダウンロードさせるサイトへと誘導するメッセージが表示される事象が発生していた。
株式会社ドワンゴと株式会社ニワンゴが発表した。

 株式会社マイクロアドが提供する広告配信ネットワーク「MicroAd AdFunnel」経由で配信された広告に埋め込まれていた悪意のあるスクリプトが原因。
ドワンゴなどによると、19日正午までに同広告ネットワークとの通信を遮断したとしている




 この事象について、セキュリティベンダーの株式会社シマンテックが同社公式ブログにおいて解説している。
niconicoを視聴していると「このページは表示できません! Flash Playerの最新バージョンへのアップデート!」といった
怪しいポップメッセージが表示され、「OK」ボタンをクリックすると、偽のFlash Playerのダウンロードサイトへリダイレクト。
そこから偽のアップデートをダウンロードしてインストールしてしまうと、PCがマルウェアに感染する。

 このマルウェアは、使用しているウェブブラウザーの情報、PCのGUID、ハードディスクのシリアル番号、MACアドレスなどの情報を収集して
外部に送信するほか、別のファイルをPCに投下するものだという。

 シマンテックの公式ブログでは偽ダウンロードサイトの画像も掲載しており、デザインなどは正規サイトに似せてあるが、
日本語が怪しいことが分かる。
例えば「現在インストールされているFlash Playerのバージョンは低いですので、更新してください」
「新しいバージョンのFlash Playerは放送速度はもっと速くて、性能は良いとなります」などだ。
また、正規のFlash Playerの最新バージョンは「14.0.0.125」だが、偽ダウンロードページでは「11.9.900.152」と記載されている点も異なる。

 MicroAd AdFunnelを提供するマイクロアドによると、問題となったスクリプトが仕込まれていた広告は米国の提携事業者から配信されていたもので、
19日10時ごろに同事業者からの広告配信は停止したとしている。

 なお、MicroAd AdFunnelは、niconico以外の複数のサイトにも導入されているというが、
今回の問題が報告されているのは現時点ではniconicoのみだという。
マイクロアドでは、米国の提携事業者より20日中に調査報告を受ける予定だとしており、
問題の広告が配信され始めた時期や実際に配信されていたサイトなどの情報も含めて、詳細は追って発表するとしている。

【追記 15:10】
 マイクロアドは20日、今回の事象の原因について、米Yahoo!の提供する「Yahoo! AdExchange」が日本向けに広告を配信する際に
特定の悪意ある広告が混入したことによるものだったと発表した。
この広告は、19日0時ごろから8時ごろまで配信されていたことが確認されたとしている。


スクリーンショット
Flash Playerの更新を促すポップアップメッセージ(シマンテック公式ブログから画像転載)
no title

誘導先の偽ダウンロードサイト(シマンテック公式ブログから画像転載)
no title


2: 名刺は切らしておりまして 2014/06/22(日) 21:33:01.03 ID:BidwvZaO.net
ニコニコを見るたびに
高画質になります!
生放送から追い出されることがありません!
などと有料プレミアム登録に誘導されそうになるんだけど
あれも悪意のあるマルウェアかな?


7: 名刺は切らしておりまして 2014/06/22(日) 21:39:38.03 ID:GVWZm0Xg.net
>>2
生じる訳無いだろ
むしろドワンゴは被害者だろ

昨日アメーバもやられてるし主要なサービスは軒並み被害に遭ってるな


57: 名刺は切らしておりまして 2014/06/23(月) 00:55:36.88 ID:7aBVXDBg.net
>>2
マルじゃないがガチの悪意w


3: 名刺は切らしておりまして 2014/06/22(日) 21:33:56.54 ID:Ea6M5rXR.net
これ、ニコ動は賠償義務とか生じないのかね


5: 名刺は切らしておりまして 2014/06/22(日) 21:38:41.72 ID:apDPsZ28.net
これは防ぎようがなかろう


8: 名刺は切らしておりまして 2014/06/22(日) 21:39:51.69 ID:fQzXgS6H.net
Flashのアップデートとかお使いのPCのパフォーマンスが云々とかスパムの常套手段だわな。
まともなサービスはそういうの寄せ付けないんだけどね。


12: 名刺は切らしておりまして 2014/06/22(日) 21:43:41.41 ID:54uFDgzn.net
アップデート詐欺は昔から恐くてな


24: 名刺は切らしておりまして 2014/06/22(日) 22:10:17.26 ID:mhaEFwd0.net
Flash使いたくないけど、googlemapとか必要なときあるんだよなぁ
仮想化の砂箱もオーナー変わってから怪しくなってるって聞くから入れたくないし。
VMwareは低スぺPCだと重い、OSインストールが面倒だから、困るわ


25: 名刺は切らしておりまして 2014/06/22(日) 22:17:39.48 ID:WLuw/UWz.net
セキュリティソフトで防げないの?


26: 名刺は切らしておりまして 2014/06/22(日) 22:20:39.39 ID:OfRqXs0O.net
>>25
防ぐ防げない以前に、バナーをクリックしなきゃいいだけでしょ。

要するに、1年ぐらい前に流行った「あなたのPCは更新が必要です」系のだまし広告の亜種でしょ。


27: 名刺は切らしておりまして 2014/06/22(日) 22:24:26.69 ID:9GNEG92/.net
>>26
これ動画いきなり消えてサイトに飛ばされるやつ
だまし広告より巧妙でダウンロードも強制の人がほとんど。ただなぜ実行押すのか?強制ダウンロードで気づくだろ強制実行か


33: 名刺は切らしておりまして 2014/06/22(日) 22:40:09.20 ID:Vxy87uw9.net
setupファイルダウンロードしたところで
セキュリティソフトがマルウェアを検出したな。
なんでversion11? ってことで、URLに違和感覚えたので
adobeのページで最新版をインストールしてみたけど


34: 名刺は切らしておりまして 2014/06/22(日) 22:49:38.51 ID:KM2gSg1J.net
>>33
現在のウィルスソフトがほぼ無意味なことは
ウィルスソフト会社が警告してるだろ。

世に出回ってるウィルスの4割程度しか検出できないとか。
根本的にやり方を変えないと無理なんだとか。


40: 名刺は切らしておりまして 2014/06/22(日) 23:06:45.74 ID:C3BcJROP.net
>>34
あれってファイルスキャンタイプだけだと見逃すのがあるけどヒューリスティック検知や
メモリスキャンを組み合わせれば未知の物も含め大抵のウイルスを発見できるよって話だったと思うが


58: 名刺は切らしておりまして 2014/06/23(月) 01:01:23.06 ID:1RRZmnUb.net
>>34
>現在のウィルスソフトがほぼ無意味なことは
>ウィルスソフト会社が警告してるだろ。

この種のユーザーの無知も原因の一つ。


39: 名刺は切らしておりまして 2014/06/22(日) 23:00:26.23 ID:sV88dCas.net
オマイラ、リバースプロキシぐらい通しておけよな
adBockなんて後手に回るから意味ないって


42: 名刺は切らしておりまして 2014/06/22(日) 23:17:34.01 ID:lqpTj2aj.net
胡散臭い会社だと思ったら、親会社が「株式会社サイバーエージェント」

そりゃこういう汚い事やりますわ

こういうこと一回でもやったら罰則設けるべきだわ
故意だろうが故意じゃなかろうがね
そうしないといつまでも逃げられる

ここは悪質すぎる


46: 名刺は切らしておりまして 2014/06/22(日) 23:31:32.83 ID:5AAA0agE.net
フラッシュにもクッキー保存されてるから消しとけよ


51: 名刺は切らしておりまして 2014/06/23(月) 00:15:37.34 ID:Us1VhJeh.net
そもそもアドビに買収されてからののフラッシュプレイヤー自体
とまるわ互換性無いわで悪意てんこ盛りなんだが。


54: 名刺は切らしておりまして 2014/06/23(月) 00:40:01.37 ID:w0lOm0JZ.net
ニコニコ動画見た後ブラウザでローマ字入力できなくなるのなww(mac使い)ホントB級会社だわ..


59: 名刺は切らしておりまして 2014/06/23(月) 04:27:16.39 ID:uhidccqn.net
マルウェアじゃないかもしれんがYoutubeもPCのパフォーマンスを向上するという広告が出てくるな


62: 名刺は切らしておりまして 2014/06/23(月) 06:30:09.71 ID:Wp7SaAKJ.net
これあったわw
日本語怪しかったのと、ニコニコ経由が馴染みなかったから
本物なら再起動したらflashのWindowからメッセージ出るはずと
思ってクリックしなかったけど危なかった


73: 名刺は切らしておりまして 2014/06/23(月) 10:15:14.52 ID:FiL7gON4.net
iOSのSafariで勝手にAppStoreの特定アプリに飛ばされるとかもあるな。


78: 名刺は切らしておりまして 2014/06/23(月) 13:10:46.02 ID:L0Jz7CJC.net
これに引っかかっているかどうかって
何処を確かめればわかるの?


83: 名刺は切らしておりまして 2014/06/23(月) 15:05:54.47 ID:J2Mxo9V4.net
>>78
以下はドワンゴが駆け込んだトレンドマイクロ社のサイト
でも、他のソフトでも同様の検出は可能とか



動画サイトを閲覧中に偽Flash Playerの更新通知が表示されマルウェア感染する事象の対応方法
http://esupport.trendmicro.com/solution/ja-JP/1103938.aspx

トレンドマイクロでは、動画サイトを閲覧中に偽Flash Playerの更新通知が表示されマルウェア
「ADW_DOWNWARE」がインストールされる事象を確認しています。※検出名称は変更になる可能性があります。

ウイルスバスター クラウドは検出対応していますのでご安心ください。
感染が疑われる場合はウイルスバスタークラウドのコンピュータ全体のスキャンを実施することをお勧めします。






2001: 気になるピックアップ記事