世界を動かす技術を、日本語で。

偽のCAPTCHAに支えられたダークアドテック帝国

概要

  • 2024年後半、ロシア政府支援の偽情報キャンペーンが悪質な広告技術を利用してSNSのモデレーションを回避していた事実が発覚
  • DoppelgangerやVexTrioなどのTDS(トラフィック配信システム)が偽ニュースや詐欺広告の拡散基盤として機能
  • LosPollosやTacoLocoといったネットワークが、違法・グレーな広告やマルウェア拡散の温床
  • スイスやロシアなど複数国にまたがる企業・個人による運営と隠蔽工作
  • 通知機能の悪用対策として、主要ブラウザでの通知ブロック推奨

ロシア発ディスインフォメーションと悪質広告テクノロジーの実態

  • 2024年11月、セキュリティ企業Quriumが「Doppelganger」ネットワークを調査
    • 欧州で偽ニュース拡散、複数のクローンサイト利用
    • ドメインクローク技術で検索エンジンと一般ユーザーに異なる内容を表示
  • Doppelgangerは、VexTrioという最古の悪質TDSとインフラを共有
    • TDSは本来広告ネットワークのトラフィック管理用
    • VexTrioはフィッシングやマルウェア被害者のトラフィックを管理
  • Doppelgangerのクロークサービスは、出会い系・詐欺サイトも宣伝
    • LosPollosやTacoLocoなどのアフィリエイトサービスと連携

LosPollos、TacoLoco、VexTrioの仕組みと運営者

  • LosPollosは「Breaking Bad」モチーフの広告ネットワーク
    • JavaScriptベースのスマートリンクでVexTrio TDSへ誘導
    • ハッキングされたWordPressサイト経由でトラフィック獲得
    • アフィリエイトにより詐欺・マルウェアサイトへの誘導報酬
  • TacoLocoはプッシュ通知の悪用ネットワーク
    • 偽CAPTCHAで通知許可を誘導、被害者端末に詐欺警告や広告を大量表示
  • VexTrioと連携する他のネットワーク
    • Partners House、BroPush、RichAds、RexPushなどロシア系プッシュ通知事業者
  • 主要インフラ運営企業
    • Adspro Group(チェコ・ロシア登録)、C41・Teknology SA(スイスホスティング)
    • Holacode(アプリ開発、CEO: Giulio Vitorrio Leonardo Cerutti)
      • VPNサービスやSpamshieldアプリも展開
      • Spamshieldは実際には通知隠し→課金誘導の詐欺的挙動

業界の反応と再編

  • Qurium・Infobloxによる調査公開後、LosPollosはプッシュ通知サービスを停止
  • Adspro GroupはAimed Globalへリブランド
  • VexTrio経由のマルウェア(DollyWayなど)はHelp TDSへトラフィック移行
    • 複数TDSが互いにトラフィックを融通し合う複雑な構造

セキュリティ専門家の見解

  • InfobloxのRenee Burton氏
    • TDSの手法は「法的グレーゾーン」と見なされがちだが、実際は重大な脅威
    • 年間数十万件のウェブサイトがVexTrio系TDSにリダイレクト
    • ロシア系犯罪組織が悪質アドテックを支配

利用者が取るべき対策

  • ウェブ閲覧時の通知許可は極力控えるべき
  • 通知機能の完全ブロック方法(主要ブラウザ別)
    • Firefox :「設定」→「プライバシーとセキュリティ」→「通知」→「新しい通知リクエストをブロック」
    • Chrome :「設定」→「プライバシーとセキュリティ」→「サイトの設定」→「通知」→「サイトに通知の送信を許可しない」
    • Safari :「設定」→「Webサイト」→「通知」→「通知許可リクエストを許可しない」にチェック
  • 技術に詳しくない家族・知人の端末でも通知ブロック設定を推奨

まとめ

  • ロシア発のディスインフォメーションと悪質アドテックは、複数国・複数企業をまたぐ巧妙な構造
  • TDSネットワークによる偽情報・マルウェア拡散は依然として深刻な問題
  • 利用者自身による通知ブロックなどの基本的なセキュリティ対策が重要

Hackerたちの意見

「ボタンを押して人間であることを証明する」って攻撃、結構賢いと思う。今のキャプチャの表示方法は色々あるから、かなりの人が引っかかるんじゃないかな。

インターネットをこんなに混乱したカフカ的な迷路にしたのは自分たちのせいだよね。これをクリック、あれをクリック、ボットじゃないことを確認するためにサインイン、交通標識を選んで、ネズミが食べないものを選んで、人間であることを証明するためにこの迷路を解いて、悪魔のような音の中に隠された数字を打ち込んで、リアルであることを証明するために電話番号を提供して、作業証明を計算して、問題があればこのブラウザをダウンロード…詐欺師と現代のテクノロジー企業の境界線は、正直言ってもう明確じゃないし、特にテクノロジーにあまり興味がない人にとっては、ただ何かにアクセスしたいだけなのに。

Quriumによると、TacoLocoはインターネットユーザーを騙して「プッシュ通知」を有効にさせるためのトラフィックマネタイズネットワークなんだって。プッシュ通知は、ブラウザの外にポップアップメッセージを表示するためのクロスプラットフォームのブラウザ標準。数年前、うちの年配の親戚がこれにやられたことがあって、彼のコンピュータのデスクトップは起動時に常にメッセージでスパムされてたんだ。全部オフにする簡単な方法もなくて、結局、彼が以前に知らずに許可したウェブワーカーからの通知だったことが判明したよ。(彼のブラウザを自動で通知を拒否する設定にしたから、もう二度と起こらないようにした。)

うちの年配の隣人のことを思い出す。かなり退屈だったな。最初にコンピュータに触ったとき、ブラウザベースだって気づくのに数分かかったよ。

正直言って、今の形のデスクトップ通知は現代のウェブの中で最悪の機能の一つだと思う。メールのアラートが来るのはいいけど、経験上、意図的に有効にしている人の裏で、混乱しているお年寄りが何千人もスパムを受け取っていると思う。さらに悪いことに、これらの通知は(Windowsの)ネイティブOSのアラートのように見えるから、「SECURITY ALERT!! CALL NOW」なんて表示されたら、詐欺師に電話をかけさせるのがさらに効果的になっちゃうんだよね。

新しいブラウザを使うときに最初に変更する設定の一つは、すべてのページからの通知リクエストを禁止することと、dom.beforeUnloadを無効にすること。これらの機能は多分最も悪用されているブラウザ機能で、デフォルトで有効にすべきじゃない(もし有効にするなら、ホワイトリストのサイトだけにすべき)。

ブラウザのプッシュ通知のアイデアは、最初から明らかに有害だったよね。特に「通知を有効にしますか?」っていう特権的なポップアップがあったから。これって、2010年代のデスクトップをスマホ化するっていう流行から来てると思う。誰かがGoogleリーダーやRSSエコシステムを再現しようとしたんだろうけど(MozillaはブラウザにRSSを入れて失敗したし)、他の人たちはただ、モバイルアプリで有効だったダークパターンに夢中になってただけだった。

ダブルギャンガーキャンペーンは、訪問者のブラウザを長いドメインのシリーズを経由させてから、偽のニュースコンテンツを提供するための専門的なリンクを使っているんだって。目的は、目的地に到達する前にいくつかの異なるドメインを経由することなの?怪しい広告をうっかりクリックしたときにこの挙動に気づいたことはあるけど、考えたことはなかったな。

インタースティシャルドメインごとに複数のインプレッションがあるんじゃないかな。

oktaや似たようなサービスのログイン処理を思い出す。1万回リダイレクトされた気分…ユーザーにその行動がOKだって教えてる感じ。

広告ネットワークに提出する際、初期サイトでの多くのチェックをバイパスできるんだよね。ユーザーエージェントや潜在的なIPの位置に基づいてカスタムリダイレクションもできるし。フィッシングではよく見られる手法だね。

他のコメントに加えて、これによりそのドメインにファーストパーティクッキーを設定できるようになるかもしれない。目的がそれかは分からないけど、追跡やマネタイズに使われる可能性もあるね。

Hacker Newsで議論の続きを見る