「2016年年次訪問者調査」という不正広告が2016年8月中旬~下旬あたりから表示される現象が相次いでいる
2016年 8月中旬から「Chrome:ユーザー調査」と称する Web上の不審な表示を訴えるネット上の声が Twitter や各種 SNS などで見られています。
繰り返されるネット詐欺事例、アンケートからフィッシングへ誘導 | トレンドマイクロ セキュリティブログ
セキュリティソフトの「ウイルスバスター」を開発しているトレンドマイクロ社のブログより
Chrome:ユーザー調査
というタイトルで突然、ブラウザー上に表示される
一見すると、Chromeのアイコンがタイトルの左に表示されており、何となく「Googleの正式なアンケート」であると勘違いしそうだが、クレジットカード番号を入力させる手口の詐欺広告なので注意
最終的に利用者のクレジットカード情報を狙うフィッシングにつながる「アンケート詐欺」事例であることを確認しました
繰り返されるネット詐欺事例、アンケートからフィッシングへ誘導 | トレンドマイクロ セキュリティブログ
上記の不正広告のアンケート調査に応じると、最終的にクレジットカードの番号の入力を求められるので注意
http://blog.trendmicro.co.jp/archives/13731?cm_re=articles-_-blog-_-13731
トレンドマイクロ社のブログ
本記事で取り上げた不正広告「2016年年次訪問者調査」に関する記事
この不正広告は、どういう仕組みのものなのか?
今回の「アンケート詐欺」はインターネット利用者が一般の Webサイトを閲覧している際にアンケート詐欺サイトへ誘導される
繰り返されるネット詐欺事例、アンケートからフィッシングへ誘導 | トレンドマイクロ セキュリティブログ
トレンドマイクロ社のブログでは、ハッキリとどのサイトを閲覧していると表示されるのか言及されていないが、Twitterやブログなどを検索すると、様々な情報が飛び交っている。
これは、不正広告を表示している広告業者(アフィリエイト広告業者)が日本人向けのサイト(まとめサイトなど)で多く使用されているためだと思われる。
このアンケート詐欺に利用された Webサーバは複数確認されています。特にアンケートのWebコンテンツをホストしたドメイン約2万件に対して調査したところ、8月8日から 8月28日までの 3週間で、日本からおよそ 1万3,000件のアクセスがあったことが確認されました。
繰り返されるネット詐欺事例、アンケートからフィッシングへ誘導 | トレンドマイクロ セキュリティブログ
後述するように、不正広告のURLは「http://~~.exclusiverewards.~~.com」という形式になっている。
「~~」の部分が可変部分になっていて、それらの合計が「約2万ドメイン」存在しているということだろうか?
トレンドマイクロが、どのようにしてこの個数を調査し、アクセス数を知ったのか詳細を知りたいところだ。
全世界からのアクセスは同じ期間におよそ 2万7,000件となっており、日本からの誘導が半分近くを占めていたことも判明しました。また、間隔をおいてアクセスの集中が確認されており、断続的に不正広告が配信されていたようです。アクセス数推移からは 8月15日、8月18日に試運転的な攻撃を行った後、8月24日から 27日の週末にかけて本格的な攻撃が実施されたものと推定されます。
繰り返されるネット詐欺事例、アンケートからフィッシングへ誘導 | トレンドマイクロ セキュリティブログ
トレンドマイクロが、いかにして、全世界からのアクセス数、日本からの誘導数を知ったのか、詳細な調査方法の説明が欲しいところだ。
最近の事例では、正規サイトやサービスの利用時であっても不正広告
繰り返されるネット詐欺事例、アンケートからフィッシングへ誘導 | トレンドマイクロ セキュリティブログ
怪しいアダルトサイトや著作権侵害している動画サイトではなくても、不正広告が表示されるケースが増加しているようだ。例えば、企業が運営している「pixiv」であったり、「海外の反応」系まとめブログ、「はちま起稿」など。
「不審なサイトへアクセスしなければ大丈夫」という考えは既に過去のものです。いつも見ているサイト上での表示
繰り返されるネット詐欺事例、アンケートからフィッシングへ誘導 | トレンドマイクロ セキュリティブログ
サイト自体が問題というよりも、サイト上で表示される広告の中に、問題のスクリプトが埋め込まれていると推測される。そのスクリプトが自動的にリダイレクトをして不正広告のURLへ誘導させていると思われる。
この手法の怖いところは「ユーザーが何の操作をしなくても、ブラウザ全画面でアンケートが表示される」ことだろう。一般的なフィッシング詐欺は、メールのリンクや広告などをクリックする「ユーザー側の自主的な操作」がきっかけになることが多い。
しかし今回の手口は、問題のない通常のサイトを訪れただけで、ブラウザの別タブが開いてアンケート詐欺サイト表示される。筆者が目撃したのも、国内のレンタルブログ大手に設置されている問題のない個人サイトだった。それも表示されたのは1回だけで、リロードすると表示されなくなってしまっている。
トレンドマイクロでは、詐欺ページ表示の原因は不正広告ではないかと推測している(詳細は調査中)。筆者が目撃した個人サイトも、個人の収益になる広告(アフィリエイト広告)が貼り付けられており、それが原因だった可能性が高い。
「ユーザー調査」、実はカード番号収集の詐欺 : 科学 : 読売新聞(YOMIURI ONLINE)
ネット広告のしくみは複雑で、広告を受け付ける代理店、バナー広告の業者、それをネットワーク化する業者、高い単価の広告を自動選択する業者など、多くの業者が入っている。カオス状態と言ってもよく、その不正広告がどこから出たものかたどることが難しいのだ。またいつ出たのかなどの記録もとれないために、犯人を追跡するもの困難だ。
「ユーザー調査」、実はカード番号収集の詐欺 : 科学 : 読売新聞(YOMIURI ONLINE)
どういうサイトを閲覧している時に、表示されるのか?
この「2016年年次訪問者調査 (地域名のアルファベット) chrome:ユーザー調査」という不正広告は、決して怪しいアダルトサイトや犯罪目的のアンダーグラウンドなサイトや著作権侵害の動画サイトを見ていた時に表示されるものではなく、通常のウェブサイト(まとめサイトなど)で表示されるので厄介だ。
ただし、「パソコン自体がウイルスに感染させられる」というのではなく、「広告に埋め込まれた悪質なリダイレクトのスクリプト」が原因のようだ。なので、セキュリティソフトを入れていても、「2016年年次訪問者調査」へリダイレクトされてしまうケースが多いようだ。
誘導の方法の詳細は確認中ですが、不正広告によるものと推測されます
繰り返されるネット詐欺事例、アンケートからフィッシングへ誘導 | トレンドマイクロ セキュリティブログ
トレンドマイクロ社は、誘導の詳細については未だに「確認中」と述べているが、インターネット上の声を拾うと、様々な事実が判明している。
トレンドマイクロ社は、早く不正広告の表示メカニズムの詳細を明らかにして欲しい。
2016年年次訪問者調査 について
先ほど、ネットサーフィンでゲームに関する情報を集めており、ごく普通のウェブサイト(PIXIV百科事典のどうぶつの森の項目)を開いたところ、上記「2016年年次訪問者調査」といういかにも怪しげなウェブサイトに飛ばされました。
アドウェア感染の疑いについて2016年年次訪問者調査 について – 先ほど、ネッ… – Yahoo!知恵袋
pixivを閲覧していた際に表示されたとの報告がある
冬乃郁也@9/22、29単行本連続発@fuyuno_ikuya
これどうもフィッシング詐欺まがいの広告みたいなんで、皆様お気をつけ下さい。
ow.ly/dOM6303xgde
うろ覚えですが、はちま起稿( http://blog.esuteru.com/ )だったと思います。
毎回必ず出てくるというわけではないですね、これ以降出た記憶はないですし・・・
2016年年次訪問者調査 (Tokyo) chrome:ユーザー調査を調査したゾ!!: エンドッファイな日常
まとめサイト「はちま起稿」を閲覧していた際に表示されたとの報告がある
インターネット上を検索すると、「はちま起稿」や「海外の反応」といった「個人がアフィリエイト広告収入を期待して作っているサイト」(いわゆる「まとめサイト」)を閲覧したときに表示されたとの報告が多い。
やはり、アフィリエイト広告の中に、不正にリダイレクトをする悪質な広告が混じっていると考えられる。
また、pixivのような「企業が運営してるサイト」でも表示されたとの報告が多数あるため、個人ではなく、企業が運営しているサイトであっても、表示される広告の中に不正広告が混じっている可能性がある。
しかし、「Yahoo」のようなメジャーなサイトでは表示されたとの報告が無いので、使用している広告表示業者によって、この「不正広告」が混入するかどうか違ってくるものと推測される。Yahooの場合は広告業者をかなり厳しく審査しているものと思われる。
pixivやはちま起稿などが使っている共通の「アフィリエイト広告業者」が流している広告の中に、「Chrome:ユーザー調査」という詐欺広告も紛れ込んでいるようだ。その広告業者がどの業者なのか突き止め、問題の詐欺広告を流すように依頼した者が誰なのか突き止める必要がありそうだ。
不正広告のURLについて
http://(アルファベット5文字).exclusiverewards.(数字7桁).com/ が出てきます
http://wiuzz.exclusiverewards.7113697.com/ が出てきます – ウィルス対策 [解決済 – 2016/09/03] | 教えて!goo
危険なサイトのURLであるため、そのまま引用せず、「アルファベット5文字」と「数字7桁」の部分だけ改変した。
「2016年年次訪問者調査 (地域名のアルファベット) chrome:ユーザー調査」が表示された際のURLは、このような構造を持っていることが特徴である。
「.exclusiverewards.」の前後のアルファベットと数字部分は、色々と変化するようだ。
これって安全ですか?本物ですか?
http://(アルファベット5文字).exclusiverewards.(数字7文字).com/(以下、かなり長い文字列)
これって安全ですか?本物ですか? – http://zfgzz.exclusiverewards.711357… – Yahoo!知恵袋
詐欺サイトのURLをそのまま引用すると危険なので、一部改変した(「.exclusiverewards.」の前後と「.com/」の後の文字列)。
「.com/」の後ろに続くかなり長い文字列は、追跡番号かIDみたいなものだろうか?
やはり、「exclusiverewards」という文字列が含まれ、「http://~~.exclusiverewards.~~.com/~~」という構造になっていることが特徴のようだ。
まだまだ、どのアフィリエイト広告業者の広告に不正広告が混じっているのか、どのサイト上で表示されるのかなど詳細が不明確な部分が多いので注意が必要だ。
情報収集のため、時々、Twitterなどを「2016年年次訪問者調査」というキーワードでリアルタイム検索してみるのも良い。
また、トレンドマイクロ社が詳細を調査中のようなので、ブログ( http://blog.trendmicro.co.jp/archives/13731?cm_re=articles-_-blog-_-13731 )を時々、チェックしてみると良いだろう。
GoogleやChromeの正式な調査ではない