ハクソク

世界を動かす技術を、日本語で。

偽のCAPTCHAに支えられたダークアドテック帝国

347日前原文(krebsonsecurity.com)

概要

  • 2024年後半、ロシア政府支援の偽情報キャンペーンが悪質な広告技術を利用してSNSのモデレーションを回避していた事実が発覚
  • DoppelgangerやVexTrioなどのTDS(トラフィック配信システム)が偽ニュースや詐欺広告の拡散基盤として機能
  • LosPollosやTacoLocoといったネットワークが、違法・グレーな広告やマルウェア拡散の温床
  • スイスやロシアなど複数国にまたがる企業・個人による運営と隠蔽工作
  • 通知機能の悪用対策として、主要ブラウザでの通知ブロック推奨

ロシア発ディスインフォメーションと悪質広告テクノロジーの実態

  • 2024年11月、セキュリティ企業Quriumが「Doppelganger」ネットワークを調査
    • 欧州で偽ニュース拡散、複数のクローンサイト利用
    • ドメインクローク技術で検索エンジンと一般ユーザーに異なる内容を表示
  • Doppelgangerは、VexTrioという最古の悪質TDSとインフラを共有
    • TDSは本来広告ネットワークのトラフィック管理用
    • VexTrioはフィッシングやマルウェア被害者のトラフィックを管理
  • Doppelgangerのクロークサービスは、出会い系・詐欺サイトも宣伝
    • LosPollosやTacoLocoなどのアフィリエイトサービスと連携

LosPollos、TacoLoco、VexTrioの仕組みと運営者

  • LosPollosは「Breaking Bad」モチーフの広告ネットワーク
    • JavaScriptベースのスマートリンクでVexTrio TDSへ誘導
    • ハッキングされたWordPressサイト経由でトラフィック獲得
    • アフィリエイトにより詐欺・マルウェアサイトへの誘導報酬
  • TacoLocoはプッシュ通知の悪用ネットワーク
    • 偽CAPTCHAで通知許可を誘導、被害者端末に詐欺警告や広告を大量表示
  • VexTrioと連携する他のネットワーク
    • Partners House、BroPush、RichAds、RexPushなどロシア系プッシュ通知事業者
  • 主要インフラ運営企業
    • Adspro Group(チェコ・ロシア登録)、C41・Teknology SA(スイスホスティング)
    • Holacode(アプリ開発、CEO: Giulio Vitorrio Leonardo Cerutti)
      • VPNサービスやSpamshieldアプリも展開
      • Spamshieldは実際には通知隠し→課金誘導の詐欺的挙動

業界の反応と再編

  • Qurium・Infobloxによる調査公開後、LosPollosはプッシュ通知サービスを停止
  • Adspro GroupはAimed Globalへリブランド
  • VexTrio経由のマルウェア(DollyWayなど)はHelp TDSへトラフィック移行
    • 複数TDSが互いにトラフィックを融通し合う複雑な構造

セキュリティ専門家の見解

  • InfobloxのRenee Burton氏
    • TDSの手法は「法的グレーゾーン」と見なされがちだが、実際は重大な脅威
    • 年間数十万件のウェブサイトがVexTrio系TDSにリダイレクト
    • ロシア系犯罪組織が悪質アドテックを支配

利用者が取るべき対策

  • ウェブ閲覧時の通知許可は極力控えるべき
  • 通知機能の完全ブロック方法(主要ブラウザ別)
    • Firefox :「設定」→「プライバシーとセキュリティ」→「通知」→「新しい通知リクエストをブロック」
    • Chrome :「設定」→「プライバシーとセキュリティ」→「サイトの設定」→「通知」→「サイトに通知の送信を許可しない」
    • Safari :「設定」→「Webサイト」→「通知」→「通知許可リクエストを許可しない」にチェック
  • 技術に詳しくない家族・知人の端末でも通知ブロック設定を推奨

まとめ

  • ロシア発のディスインフォメーションと悪質アドテックは、複数国・複数企業をまたぐ巧妙な構造
  • TDSネットワークによる偽情報・マルウェア拡散は依然として深刻な問題
  • 利用者自身による通知ブロックなどの基本的なセキュリティ対策が重要

Hackerたちの意見

「ボタンを押して人間であることを証明する」って攻撃、結構賢いと思う。今のキャプチャの表示方法は色々あるから、かなりの人が引っかかるんじゃないかな。

インターネットをこんなに混乱したカフカ的な迷路にしたのは自分たちのせいだよね。これをクリック、あれをクリック、ボットじゃないことを確認するためにサインイン、交通標識を選んで、ネズミが食べないものを選んで、人間であることを証明するためにこの迷路を解いて、悪魔のような音の中に隠された数字を打ち込んで、リアルであることを証明するために電話番号を提供して、作業証明を計算して、問題があればこのブラウザをダウンロード…詐欺師と現代のテクノロジー企業の境界線は、正直言ってもう明確じゃないし、特にテクノロジーにあまり興味がない人にとっては、ただ何かにアクセスしたいだけなのに。

Quriumによると、TacoLocoはインターネットユーザーを騙して「プッシュ通知」を有効にさせるためのトラフィックマネタイズネットワークなんだって。プッシュ通知は、ブラウザの外にポップアップメッセージを表示するためのクロスプラットフォームのブラウザ標準。数年前、うちの年配の親戚がこれにやられたことがあって、彼のコンピュータのデスクトップは起動時に常にメッセージでスパムされてたんだ。全部オフにする簡単な方法もなくて、結局、彼が以前に知らずに許可したウェブワーカーからの通知だったことが判明したよ。(彼のブラウザを自動で通知を拒否する設定にしたから、もう二度と起こらないようにした。)

うちの年配の隣人のことを思い出す。かなり退屈だったな。最初にコンピュータに触ったとき、ブラウザベースだって気づくのに数分かかったよ。

正直言って、今の形のデスクトップ通知は現代のウェブの中で最悪の機能の一つだと思う。メールのアラートが来るのはいいけど、経験上、意図的に有効にしている人の裏で、混乱しているお年寄りが何千人もスパムを受け取っていると思う。さらに悪いことに、これらの通知は(Windowsの)ネイティブOSのアラートのように見えるから、「SECURITY ALERT!! CALL NOW」なんて表示されたら、詐欺師に電話をかけさせるのがさらに効果的になっちゃうんだよね。

新しいブラウザを使うときに最初に変更する設定の一つは、すべてのページからの通知リクエストを禁止することと、dom.beforeUnloadを無効にすること。これらの機能は多分最も悪用されているブラウザ機能で、デフォルトで有効にすべきじゃない(もし有効にするなら、ホワイトリストのサイトだけにすべき)。

ブラウザのプッシュ通知のアイデアは、最初から明らかに有害だったよね。特に「通知を有効にしますか?」っていう特権的なポップアップがあったから。これって、2010年代のデスクトップをスマホ化するっていう流行から来てると思う。誰かがGoogleリーダーやRSSエコシステムを再現しようとしたんだろうけど(MozillaはブラウザにRSSを入れて失敗したし)、他の人たちはただ、モバイルアプリで有効だったダークパターンに夢中になってただけだった。

ダブルギャンガーキャンペーンは、訪問者のブラウザを長いドメインのシリーズを経由させてから、偽のニュースコンテンツを提供するための専門的なリンクを使っているんだって。目的は、目的地に到達する前にいくつかの異なるドメインを経由することなの?怪しい広告をうっかりクリックしたときにこの挙動に気づいたことはあるけど、考えたことはなかったな。

インタースティシャルドメインごとに複数のインプレッションがあるんじゃないかな。

oktaや似たようなサービスのログイン処理を思い出す。1万回リダイレクトされた気分…ユーザーにその行動がOKだって教えてる感じ。

広告ネットワークに提出する際、初期サイトでの多くのチェックをバイパスできるんだよね。ユーザーエージェントや潜在的なIPの位置に基づいてカスタムリダイレクションもできるし。フィッシングではよく見られる手法だね。

他のコメントに加えて、これによりそのドメインにファーストパーティクッキーを設定できるようになるかもしれない。目的がそれかは分からないけど、追跡やマネタイズに使われる可能性もあるね。

マイクロソフトのサービスもこれやってるよね。多分、無能さのせいだろうけど。

クリエイティビティが11に達するのは、汚職や盗み、詐欺に関しては本当に驚かされるよね。

これは新しいポップアップ広告だね。ブラウザが何も言わずに最前列に座らせた感じ。セキュリティというより、誰かがオフにするのを忘れたいたずらみたい。

これは、少なくともブラウザ通知に関しては、一般的にひどいブラウザのUI決定の結果の一つだよね。サイトがリクエストするかもしれない権限はたくさんあって、それぞれが異なる方法で設定されてリクエストされる。時には、証明書エラーが出たときのようにフルページのオーバーレイになることもあるし、クライアント証明書を使うときのように別のポップアップウィンドウが出ることもある。アドレスバーの下に全幅のバーが出ることもあれば、カメラや位置情報のための小さなポップオーバーがアドレスバーやアイコンからぶら下がることもある。許可/拒否できることもあれば、許可するかそのタブを閉じるだけのこともある。設定を記憶できることもあれば、自動的に記憶されることもある。初期設定が終わったら、削除や再設定は全く異なる、分かりにくい場所で行われる。で、何かを許可したら、例えばウェブサイトからの通知が来たとき、ブラウザはこれがブラウザベースの通知だということを隠すし、「もう二度と表示しない」ボタンみたいなのもない。特定のウェブサイトが持っている権限の一覧を見るためのシンプルな場所もないし、カメラ権限を持っているウェブサイトのリストを得るための場所もない。全てが非常に不透明で、分かりにくく、歴史的に成長した一貫性のないスパゲッティ状態。必要なのは、ウェブサイトがやりたいことに対する一貫した権限リクエストと変更の流れだよね。「永遠に許可/永遠に拒否」だけじゃなくて、「一度だけ許可/拒否」、「セッション中に許可/拒否」、「期間中に許可/拒否」も必要だし、「期間後に再度尋ねる/決して尋ねない」選択肢も必要。ポップアップやバーではなく、HTTPSのようにフルページのオーバーレイで。なんでフルページかって?それならクリックジャッキングが効かないし、説明やオプションを置くスペースが増えるし、ページがフローを中断する必要があるから、これができるだけ使われることを期待できるから。

また、少なくとも一つのモバイルプラットフォームがブラウザのプッシュ通知を許可していないことに感謝。

Krebsのことは何年もフォローしてて、この特定の警告には感謝してる。お父さんのWindowsのデフォルトの色を変えたから、偽のシステムダイアログがウェブページに浮かんでてもすぐに違和感に気づけるようになった。でも、「人間であることを証明するためにクリックして」ってのには引っかかるかもしれない。Captchaにイライラしてる人は、時々騙しやすいからね。Push通知はその頃あんまり流行ってなかったから、無効にしなかったけど。お父さんは、他のものに見せかけたものや、ネストされたウィンドウについて丁寧に教えないといけないタイプの遅咲きのコンピュータ利用者だった。新しいウィンドウを開いて、隠すためにフォーカスを奪うってのが流行ってた頃のことを覚えてる。寝る前にブラウザを閉じて、隠れたウィンドウに挨拶するお年寄りたちの姿が印象的だった。ロシアもインターネットと共に進化してきたし、Krebs氏に言いたいのは、フロイトを引用して言うと、時にはロシアのオリガルヒはただのロシアのオリガルヒに過ぎないってこと。クレムリンが他の国と同じようにこういう会社を雇ってる可能性もあるし、EUのDNS防御を突破したい怪しい人たちがたくさんいる。AIコンテンツの偽キャンプサイト、情報操作や欺瞞、または人間の校正なしの幻覚が問題になってる。大事なのは、高齢者が詐欺に遭わないようにすること。一般的に、悪質なコンテンツを見抜くための教育がもっと必要だよね、国家の行動者が誰であっても。アルファバンクの詐欺「10月の驚き」の繰り返しは避けたいし、インターネットを利用する人々の無知につけ込んだものだったけど、DNS管理者はそれを見抜いてもっと質問すべきだった。

記事はちょっと曖昧なところがあるね。例えば、リンクが訪問者を一連のドメイン名にリダイレクトするのは、何のために?詐欺師は、訪問者を一度じゃなくて何度もリダイレクトすることで何を得るの?そこは説明されてない。

KrebsOnSecurityって、すごく変なウェブサイトだよね。セキュリティやリバースエンジニアリングに興味があるソフトウェアエンジニアとして、私は完璧なオーディエンスだと思うんだけど、記事を読むたびに、ただの長ったらしいフワフワした内容で、実際のコンテンツがゼロって感じなんだ。彼らのオーディエンスは、技術的な知識が少ない人たちで、「驚くべき発見」や「オンラインの詐欺師やウェブサイトハッカー」、「レジリエントで近親相姦的」みたいな空虚なフレーズに感心する人たちなんだろうね。これが最初の段落だけで出てくるんだから、要点を言ってほしいよ。

「クレムリンの情報操作」で完全に失ったわ。KrebsはTDSを捨てるべきだね。彼の「赤いヘリングDNSの欠陥」みたいなゴミを見たとき、彼が吐き出す90%はゲルマンの忘却だって気づいた。