昨日、Chromeを使用してLos Angeles Times、New York Times、Washington Post、またはHuffington Postを読んでいた場合、サイトにマルウェアが含まれている可能性があることを知らせるブロックされたサイトメッセージが表示された可能性があります。
月曜日に、これらのサイト(および他のサイト)を読んでいる一部のChromeユーザーは、「既知のマルウェアディストリビューター」であるNetSeerからリクエストされたページのコンテンツをGoogleが検出したことを知らせるエラーメッセージを報告しました。 わかりにくい場合は、ほとんどのWebサイトが、サードパーティの広告主ネットワークやウィジェットからのオンラインなど、他のサイトからコンテンツを定期的に取り込むことに注意してください。
NetSeerはオンライン広告プラットフォームです。
「Google Chromeはwww.nytimes.comのこのページへのアクセスをブロックしています」とブラウザの警告は述べています。 「既知のマルウェアディストリビューターであるcm.netseer.comのコンテンツがこのWebページに挿入されました」と述べています。 このサイトにアクセスすると、コンピュータにマルウェアが「非常に」感染する可能性があります。
月曜日の朝、NetSeerの企業サイトはマルウェアに感染していました。 Googleのスキャナーがサイトに登場し、ドメインを悪意のあるサイトのリストに追加しました。 Chromeはリストを使用して、ユーザーが危険なサイトに移動するのをブロックします。
NetSeerの広告ネットワークが同じドメイン名を使用していることが判明したことを除いて、ほとんどのサイトでは、これで話は終わりました。 その結果、NetSeerの広告プラットフォームをサイトのどこでも使用するすべてのサイトが、Chromeの悪意のあるドメインの警告を引き起こしました。 悪意のあるChromeで。 しかし、NetSeerの広報担当者によると、広告プラットフォームは決して感染せず、ユーザーに感染するリスクもありませんでした。
NetSeerのチームは、ネットワークインフラストラクチャからの感染をクリーンアップし、Googleと協力して、マルウェアの影響を受けるサイトのリストからドメインを削除しました。
ブラックリストの問題
いくつかの主要なブラウザには、ユーザーを悪意のあるサイトから保護するための何らかのドメインブラックリストがあります。 Chromeにはセーフブラウジングがあり、Internet ExplorerにはSmartScreenがあり、Firefoxにはフィッシングおよびマルウェア保護があります。 ただし、このインシデントは、ブラックリストが常に機能するとは限らない例です。
TrusteerのセキュリティストラテジストであるGeorge Tubin氏はSecurityWatchに、「ドメインのブラックリストは使用するにはツールが粗すぎるため、実際のリスクが存在しない場合に混乱を引き起こした可能性があります。
Tubin氏は、ドメインブロックではなく、エクスプロイト防止技術に焦点を当てるべきです。「ソースに関係なく実行されるエクスプロイトを検出する」からです。
悪意のあるターゲットユーザー
悪意のある広告、つまり「マルバタイジング」とは、一般に、オンラインに悪用を埋め込む行為(マルバタイジング)を指します。 ユーザーが広告の上にマウスを置くかクリックすると、エクスプロイトがトリガーされ、ユーザーに感染します。 正規のサイトをハッキングする必要はありません。攻撃者は、ブービーでトラップされた広告を受け入れるように広告ネットワークを説得するだけです。 ローテーションに広告が含まれていると、ネットワークを使用する何千ものサイトが攻撃の手段になります。
「広告配信サービスが悪意のある広告を検出しない場合、それらは悪用およびマルウェア配布スキームの不本意な共犯者になります」とTubinは言いました。
シスコの最近のセキュリティ調査によると、ユーザーはアダルトコンテンツサイトからよりもこれらの広告からのマルウェアに182倍も感染しやすいため、問題は深刻な問題です。 マルウェアは広告が読み込まれるとすぐにドライブバイダウンロード攻撃を開始するため、場合によっては、ユーザーは広告を操作する必要さえありません。
Ciscoの上級セキュリティ研究者であるMary Landesman氏はSecurityWatchに、「ユーザーは何も悪いことをしていなくても」感染し始めています。
これらの悪意のある広告は、ユーザーのコンピューター上のパッチが適用されていないソフトウェアを頻繁に利用しています。 オペレーティングシステム、ブラウザ、プラグイン、その他の技術の更新を常に把握して、これらの広告の攻撃対象領域を最小限に抑えます。
Fahmidaの詳細については、Twitter @zdFYRashidで彼女をフォローしてください。
