悪質化するアドウェアの脅威 ~ Superfishの事例をもとに

この記事をシェア

広告を表示するソフトウェアを「アドウェア」と呼ぶ場合がある。今、そのアドウェアが多様化し、中には悪質なマルウェアとして機能するものもある。あらたな脅威として注目されるアドウェアについて解説する。

広告収益をプログラム開発者に還元するアドウェア

そもそも「アドウェア」とは、どのようなものだろうか? ここで言う「アド」とは広告(advertising)のことだ。広告機能を備えたソフトウェアであれば、広い意味で「アドウェア」であるとも言える。

小規模のソフトウェア開発会社では、自社開発したプログラムの販売だけで十分な収益を得られないケースもある。そこで、あらたな収益源として考えられたのが「広告」だった。広告業者と契約し、ソフトウェアの内部に広告モジュールを埋め込むことで、広告業者から一定の収入を得るというものだ。

スマートフォンのアプリを思い出せば、心当たりがあるだろう。無料で利用できる代わりに広告が表示されるものが代表的だ。広告表示で収入を得るほか、広告が邪魔だと感じる人、より高機能を求める人には、有料版を提供するといったビジネスモデルもある。開発者は広告による収益を期待でき、利用者は、広告表示を受け入れれば無料で利用できるなど、双方にメリットがある。

しかし、アドウェアの中には、マルウェアとして扱われる悪質なものもある。狭義の「アドウェア」だ(セキュリティベンダーが指す「アドウェア」も狭義のアドウェアを指すことがほとんどだ)。それらは、過剰な広告表示だけで、ユーザーにはほとんどメリットがないもの、詐欺まがいの広告を表示するもの、不正なWebサイトへの誘導広告を表示し、情報を搾取するものなど、まさに「脅威」といえる存在だ。

具体的には次のようなアドウェアだ。例えば、パソコンの画面に「お使いのコンピューターは危険な状態です」などと表示し、セキュリティ対策ソフトを購入させるWebサイトに誘導するものや、スマートフォンの画面に「メモリーが足りません」と警告画面を表示し、アプリを購入するためのWebサイトに誘導するようなケースが挙げられる。アドウェアによって表示されたこれらの広告は事実と異なり、実際にパソコンが危険な状態に陥っているわけでも、スマートフォンがメモリー不足になっているわけでもない。利用者の不安を煽って製品を買わせようとする「脅迫」であり、偽物のセキュリティ対策ソフトや、実際には十分な機能を備えていない「粗悪品」のセキュリティ対策ソフトを買わせる「詐欺」と言える。

悪質なアドウェア~感染の流れ~

「Webページを改ざん」するアドウェアも

2015年2月に大きな話題となったアドウェアと言えば、「Superfish」である。これは、広告を表示させるソフトをパソコンにプリインストールしたものだが、大きく注目を集める理由となったのは、世界的に知られたパソコンメーカーが採用していたソフトに問題が判明したことによる。

表向きはユーザー嗜好に合わせて広告を表示するソフトであり、一見すると、ユーザーの好みに沿った情報を提供してくれる便利なツールにも見えるが、すぐに問題点が浮かび上がる。まず、ソフトがWebプロキシとして動作していた点だ。そのため、クライアント証明書を利用する企業においてログインできない問題が発生していた。

さらにSuperfishでは、SSL証明書で暗号化され、安全性が高いはずのhttps接続についても通信内容を取得し、広告を挿入していた。安全性やプライバシーについても疑問符が付く。しかも脆弱な「ルート証明書」を「信頼するルート証明書リスト」にインストールするといった副作用まで生じていた。

「信頼するルート証明書リスト」に追加されたルート証明書によって署名されている電子証明書は、無条件に信用されてしまうため、ブラウザなどが警告画面を表示しない。Superfishでは証明書の秘密鍵の管理がずさんであり、自己署名の証明書を簡単に作ることが可能となってしまっていた。

つまり、Superfishがインストールされているパソコンからであれば、第三者が悪意を持って作った偽サイトへアクセスし、偽の証明書を使ったSSL通信を行っても、「不正な証明書が使用されている」という警告が表示されない。ユーザーが正常なアクセスと勘違いし、認証情報などを入力してしまえば、それら情報が窃取され、「なりすまし」に悪用されてしまうおそれがあるのだ。

当初は問題ないとレノボの最高技術責任者(CTO)が発言したものの、結局は脆弱性の問題があることを認めて謝罪し、Superfishを無効化するプログラムをセキュリティベンダーと協力して配布している。

Superfishの脅威~想定される被害~

ホワイトリストや振る舞い検知でアドウェアに対抗するベンダー

今回の問題は、正規に配布されていたソフトウェアが、実は危険なソフトウェアであると判明した一例となった。「広告」という収益モデルそのものが悪いわけではない。先のスマートフォンの例など見ても、ユーザーにとって有益なものも決して少なくない。しかし、広告で収益を得ているソフトも様々あり、安全性の評価が難しいことは、パソコンメーカーが判断を見誤ったことからもわかるだろう。

また、バージョンアップや機能追加などにより、知らぬ間に「悪質化」していることもあるかもしれない。こうしたソフトウェアとどのように付き合っていけばよいのかも課題だ。

たとえばESETの場合、「Live Grid」という機能により、ユーザーの許諾を受けて世界中から疑わしいファイルを取得し、自動解析や専門家による分析を行っている。そのなかで安全なソフトに関する膨大なホワイトリストを保有していることが強みとなっている。正規ソフトを提供するベンダーと日々情報交換や調整を行い、誤検出などを避ける活動を進めている点も大きい。

日々のバージョンアップなど、つねに変化していくソフトに対しては、ウイルス定義データベースだけで検出するではなく、プロアクティブに動作する製品であることも重要だ。プログラムの挙動を監視するウイルス対策ソフトを使うことで、最初にインストールした段階では問題がなくても、あとから悪意あるコードなどがアップデートで追加されれば、それを検出できるためだ。毎週・毎月など、定期的に完全スキャンを行うことが被害を軽減するための有力な手段となるだろう。

この記事をシェア

アドウェアのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!