ショッピングのあり方は、この 10 年間で劇的に変わりました。E コマースは今でも成長し続けています。実際、米BigEcommerce のオムニチャネル・リテール・レポート  によると、アメリカ人の 80% が過去 1 か月間にオンラインで何らかの商品を購入しています。オンラインでショッピングをし、2 日後には商品が届き、しかもその間、着替えて外出する手間すら必要ないのですから、嫌う理由がありません。

オンライン ショッピングが一般化するにつれ、当然ながらオンライン広告も急増しました。また、近年ではいわゆるマルバタイジングにより、ディスプレイ広告やソーシャル メディアでのプロモーションは、単にうっとうしいだけでなく危険なものへと変化しています。

脅威の裏側

マルバタイジングという呼び名は、「悪質 (malicious)」と「広告 (advertising)」の 2 語をかけ合わせて生まれました。これは、マルウェアを拡散させる手段としてオンライン広告を使用することを意味します。

サイバー犯罪者によるマルバタイジングの手口は、大量のマルウェアを含むまたは悪質なコードを、ポップアップなど一見ごく普通のオンライン広告 (偽のブラウザ アップデートやアンチウイルス プログラムなど) や Google AdWords を利用した有料広告、ディスプレイ広告、ドライブバイ ダウンロード、インテキスト広告、インコンテンツ広告などに埋め込むというものです。

これらの広告は、代理店または自動化されたアド サーバーによって、たとえば The New York Times、BBC、MSN、AOL などの正常な Web サイトに掲載されます。マルバタイジング広告が表示されているサイトを訪れた場合、感染を避けるのは大変困難です。それどころか、ユーザーが何もクリックしなくてもデバイスが侵害されることがあります。ページを読み込んだだけで感染することもあるので注意が必要です。

オンラインで羊の皮を着る狼

マルバタイジングがどのようにしてサイトに侵入するのかを理解するには、まず、オンライン広告が掲載される仕組みを知っておく必要があります。人気の高い大手の Web サイトの多くは、サードパーティのベンダーまたはアド サーバーと呼ばれるソフトウェアを使用して、サイトに最も多額の資金を提供してくれる広告を探します。あるベンダーのネットワークに広告を載せるには、登録を済ませて送信するだけでよいというケースも少なくありません。多くのサイバー犯罪者はこの状況を利用して、数週間にわたりアド ネットワークに無害な広告を送信することで合法なものとしての信用を獲得し、最終的にはシステムを手懐けます。これに成功するとすぐさま、元の広告をマルバタイジング広告に切り替えるのです。攻撃者は通常、細工を施したこれらの広告を数時間のみアクティブにしておいて、その後正常なコンテンツに戻します。

アド サーバーは通常、厳格な審査プロセスもなければ自動化されてもいないため、
攻撃者が誰も気づかない間にマルバタイジング広告を滑り込ませることは比較的簡単です。実際のところ、Zirconium グループなど一部の攻撃者が 2017 年に偽の広告代理店 28 社を立ち上げ、これらを通じてマルバタイジング広告を作成・送信したことをサイバーセキュリティ会社 Confiant が報告しています。

しかも、これらのサードパーティのネットワークは同じページに複数の広告を表示することが多く、2 人の人物がサイトを訪れた場合に 1 人だけが感染することもあるため、マルバタイジング広告の追跡・阻止がますます困難になっています。

 

マルバタイジングからデバイスを保護

2017 年には大規模で高度なマルウェア キャンペーンが展開されましたが、これからの 1 年間、攻撃から身を守るための #サイバースマートな方法がいくつかあります。

  • アド ブロッカーを使用する。アド ブロッカーはオンライン広告をすべて削除し、マルバタイジングがユーザーに及ぼす影響を大幅に低減します。巧妙なマルバタイジング広告がアド ブロッカーを回避するという事例も発生してはいますが、それでもなお、これを使用することは防御の第一歩として有意義でしょう。
  • デバイスを最新かつ安全な状態に保つ。オペレーティング システムやプラグインのアップデートを徹底し、ソフトウェアにパッチを適用すること。また、最新バージョンのブラウザのみを使用し、優れたアンチウイルスまたはマルウェア検出プログラムに投資することが重要です。
  • Java および Flash の設定をロックする。ブラウザの Java および Flash 設定で、
    プラグインのクリックトゥプレイ設定を有効化します。こうしておくと、ユーザーがデバイスに許可を与えて初めてそれらのプラグインが実行されるようになります。あるいは、Java および Flash を完全に無効化する手もあります。無効化してもおそらく損はないでしょう。
  • WordPress を適切に管理する。WordPress は、今なおハッカーの格好のターゲットのひとつです。そのプラグインは、Adobe や Flash、Java、Silverlight と同様に悪用・濫用されてきました。WordPress を使用する場合は、Web サイトを最新の状態に保ち、テーマとプラグインをパッチ適用後のバージョンにアップデートし、WordPress 関連の脆弱性に関する最新情報を収集するなどして自己防衛を図ってください。
  • 安全なブラウジングを心がける。正当なサイトのみを閲覧していても (ダークネットで臓器売買に従事していなくても) マルバタイジングの影響を受ける可能性はありますが、安全なブラウジング方法を実践することでリスクを大幅に軽減できます。セキュリティとプライバシー保護を向上させる方向でブラウザのプラグインを設定し、ブラウザとアプリケーションを最新の状態に保ち、どのプラグインが使用されているかを定期的にチェックして不要なものを無効化します。また、ダウンロードする前にファイルをスキャンし、フィッシング攻撃に注意してください。

そして言うまでもなく、サイバー犯罪者から身を守るための最善策は、信頼できるインターネット セキュリティ製品を使用することです。さらに番外編として、デバイスを保護するための一般的なヒントをいくつかご紹介しておきます。

  • 公共の WiFi ネットワークは避ける
  • オンラインでは可能な限りデビットカードよりもクレジットカードで支払いをする
  • パブリック環境では Bluetooth を無効化する
  • ファイルを常にバックアップする

 

基本プレイ無料 (F2P) のモバイル ゲームに注意

面白いモバイル ゲーム、しかも無料となれば、誰もが気に入るに決まっています。ストレス解消になると同時に、スキルを磨いたり、他のプレイヤーと競い合ったり、仲間内で腕前を誇ることまでできるのですから。

無料のゲームは楽しいかもしれませんが、これらのアプリによって想定外の請求やその他の予期せぬ問題が生じないようにするためには、いくつかの常識的な指針に従う必要があります。

デジタル全般に言えることですが、ゲームにもマルウェアなどのサイバー脅威のリスクが存在します。プライバシーと健康的な生活、そしてお金を守るうえで注意すべきポイントを確認しておきましょう。

アプリ内購入と無許可のトランザクション

無料ゲームのプロバイダーは、ゲームの視覚的要素のアップグレードやプレイのレベルを上げる手段を販売して収益を得ています。たとえば、子供に人気の高いあるゲームでは、プレイヤーがプレイ体験を全体的に向上させる特別なコインを購入できます。

ところが、2017 年に発表された Tech Crunch の記事によると、Amazon が最近、この種のアプリ内購入数百万件の払い戻しに同意しています。なぜならこれらの購入は、同社のサイトにリンクされたモバイル デバイス上で子供たちが事実上無許可で行ったものだったからです。親たちにとっては大変不都合なことに、これらのトランザクションはパスワードを要求しないものでした。

Apple と Google も、米連邦取引委員会との間でこれと同様の合意に至っています。

つまり、ゲームをプレイする子供を持つ親は、このようなトランザクションや銀行の取引記録、子供の行動に注意する必要があります。多くのモバイル デバイスには、子供たちが自分で購入を行えないよう、アプリ内購入を無効化したり PIN で保護するオプションも設けられています。

ちょっとした料金が積み重なり、親たちは多大なコストを強いられる可能性があります。また、より悪質なケースでは、クレジットカードに悪意ある人物からの意図的な不当請求が行われる場合もあります。

 

マルウェア、そしてプライバシーに対する脅威

通常、無料モバイル アプリには広告が付きものであり、ユーザーはもちろん料金を支払ってこれらを非表示にすることができます。これもまた、無料実質有料へと転じさせるトランザクションベースのアップグレードの一例です。普通の広告なら単にうっとうしい、あるいはプレイが中断される程度で済むのに対し、マルウェアは偽の広告を使って F2P ゲームに真の危険をもたらすおそれがあります。

The Economic Times が報じているところによると、Google は 60 近くのゲームを Play ストアから削除しました。多くが子供向けのものだったというこれらのゲームは、マルウェアと偽の広告に侵されていたのです。

このマルウェアは、普通の広告のように見える画像を表示して懸念を煽り、偽のセキュリティ ソフトウェアをダウンロードするよう促すものでした。ユーザーはその後、料金の支払いを要求するリンクをクリックするよう誘導されていました。

また、このマルウェアは、スケアウェアのダウンロードやプレミアム サービスの料金支払いを促すだけでなく、個人情報の窃取も行っていました。これには、パスワードやデバイス ID、クレジットカード情報といった個人の機密情報が含まれていた可能性があります。

これは、なりすまし、あるいはより深刻な金銭的脅威につながりかねません。

したがって、信頼できるプロバイダーのみを利用し、ゲームをインストールする前にレビューをチェックすることが重要です。また、デバイスや個人情報への余計なアクセスを許可する必要は一切ないことをおぼえておきましょう。ユーザーはあくまで無料のモバイル ゲームをプレイしているにすぎないのです。

 

F2P モバイル ゲームにおけるセキュリティ確保のヒント

トランザクションベースの問題と悪質なマルウェアは、F2P モバイル ゲームにまつわる 2 大懸念事項です。しかし、潜在的なリスク要因をすべて列挙することは到底不可能でしょう。

だからといって、無料のオンライン ゲームを利用してはいけないというわけではありません。ただし、十分注意してください。無料と謳われているゲームについてよく調べること。また、妥当な料金を支払ってソフトウェアを購入することには、ときに無料では得られない価値があることを認識しておきましょう。

セキュリティ対策に関するその他のヒントは以下のとおりです。

  • アンチウイルス ソフトウェアを使用する
  • Web ファイルを開く際には十分注意する
  • ダウンロードを行う際は、対象の信頼性を確認する
  • セキュリティに配慮して Web ブラウザを設定する
  • 個人データをバックアップしておく
  • 強力なパスワードを使用する
    • オペレーティングおよびアプリケーション ソフトウェアをアップデートする
Webroot Japan

About the Author

Webroot Japan

Webroot Japan

ウェブルートブログは企業や個人ユーザーのサイバーセキュリティ対策に役立つな最新の脅威インテリジェンスやサイバー脅威の対策など様々な情報をお届けさせていただきます。

Facebook Comments Box