デジタル広告が悪意のある攻撃者によって悪用され続ける中、マルバタイジングとトラフィック配信システム(TDS)は、現代のサイバー脅威を支える主要な手段として浮上しています。これらの手法は、難読化、リダイレクト、クローク(偽装)メカニズムを活用し、従来の検出方法を回避しながら大規模にマルウェアを配布します。本記事では、これらの攻撃の進化、最近のキャンペーンの分析、そして効果的に検出・緩和するための防御戦略やツールについて解説します。
実際の攻撃で増加するマルバタイジングの利用
マルバタイジングとは、悪意のあるコードをデジタル広告に挿入することであり、多くの場合、信頼性の高い広告ネットワーク上で行われます。Digital Advertising Malware in 2024 Lessons for 2025 and Beyondによると、2024年の攻撃の80%以上が悪意のある広告による強制リダイレクトによるものでした。その結果、インターネットユーザーの70%がデジタル広告を潜在的な脅威と認識するようになっています。これらのキャンペーンは、信頼されているプラットフォームへの信頼を利用し、アクセス数の多いウェブサイトで配布されるため、非常に効果的です。
クローク(偽装)とマルバタイジングにおけるその役割の理解
広告クロークは、攻撃者がセキュリティスキャナーと実際のユーザーに異なるコンテンツを配信できるようにする手法です。この戦術はマルバタイジングでよく使われ、サンドボックス環境からマルウェアを隠しつつ、エンドユーザーにはカスタマイズされたペイロードを配信します。Understanding Ad Cloaking & Website Cloakingでは、この手法について分かりやすく説明されており、JavaScriptフィンガープリントを利用してボットには安全なコンテンツを、ユーザーには悪意のあるコンテンツを配信する方法が紹介されています。
ConfiantのMalvertising and Ad Quality Indexによると、2024年には90回に1回の広告表示がリスクを伴っていました。偽のソフトウェアアップデートのプロンプトや強制リダイレクトが最も多く使われた誘導手法でした。
TDSインフラが条件付きターゲティングを可能にする仕組み
トラフィック配信システム(TDS)は、位置情報やブラウザの種類、ヘッダーなどの変数に基づいて、トラフィックのリダイレクト方法やタイミングを制御します。その一例が、悪用されることの多いTDSプラットフォーム「Keitaro」です。Why the Keitaro TDS keeps causing security headachesによると、このプラットフォームはランサムウェアや情報窃取型マルウェアの配布キャンペーンの中心的存在となっています。
Why It Is Hard to Stop Rising Malicious TDS Trafficでは、SocGholishマルウェアキャンペーンがチェーン化されたリダイレクトを利用し、検出を回避しながら標的に到達する仕組みが解説されています。これらのチェーンリダイレクトは、TDSがセッションの挙動や発信元に基づいてトラフィックをルーティングするため、追跡が困難です。
TDSとマルバタイジングキャンペーンの実例
あるキャンペーンでは、攻撃者が広告内に埋め込んだ偽のCAPTCHAプロンプトを使ってLummaインフォスティーラーを配布しました。配布チェーンでは、Cloudflare CDNやAzureホストのアセットが悪用され、ペイロードの配信が難読化されていました。この事例はFake Captcha Campaign Highlights Risks of Malvertising Networksで報告されており、クロークされた広告脅威が大規模に展開できることを示しています。
さらに、Parrot TDS Infects Thousands of Websites for Targeted Malware Distributionで説明されている広範なキャンペーンでは、TDSフレームワークを使って16,000以上のウェブサイトが感染し、偽のブラウザアップデートを通じてSocGholishが配布されました。これは、正規に見えるコンテンツがインテリジェントなトラフィック分割によって武器化される様子を示しています。
検出手法とツール
組織は、クローク行為やTDSトラフィックの流れを特定するため、積極的な検出戦略を採用する必要があります。Detecting and Blocking Hidden Malicious Traffic Distribution Systemsによると、リダイレクトチェーンのマッピングやテレメトリの相関分析が、こうした挙動の発見に不可欠です。
DNSテレメトリも有効な検出レイヤーです。From Click to Chaos Bouncing Around in Malicious Traffic Distribution Systemsで説明されているように、攻撃者は配信のために数千ものドメインを登録・使い回すことが多いです。新規登録ドメインや高頻度で切り替えられるドメインの監視は、疑わしいインフラの早期検出に役立ちます。
Googleによる最近のテイクダウン事例は、Detecting and Disrupting a Malvertising Campaign Distributing Backdoorsで解説されており、行動シグナルやターゲットスキャンによって、ブラウザアップデートを装った悪意のあるペイロードが特定されました。これは、行動分析やフィンガープリントの逸脱検出の重要性を強調しています。
攻撃的テストとシミュレーション手法
- ジオフェンシングやリファラーターゲティングを用いて、ラボ環境でTDSロジックをシミュレートし、検出の有効性をテストする。
- ヘッドレスブラウザ(例:Puppeteer)を導入し、ユーザーとボットでのコンテンツの違いを特定する。
- DNSシンクホールを活用して、ドメインの再利用やリダイレクト頻度を監視する。
- SuricataログやZeekトラフィックキャプチャを用いてリダイレクト経路を分析する。
推奨される検出スタック
| 手法 | ツール |
|---|---|
| リダイレクトチェーン検出 | Suricata、Bro/Zeek、カスタムKibanaダッシュボード |
| マルウェアペイロードスキャン | YARA、ClamAV、Radare2 |
| ビジュアルフィンガープリント | AdVersarial、スクリプトカバレッジ付きヘッドレスChrome |
| DNS監視 | Infoblox、ElastAlert |
結論
マルバタイジングとTDSクローク攻撃は、ますます高度化し、検出が困難になっています。多層的なリダイレクトチェーン、条件付きペイロード配信、動的なクロークを駆使し、攻撃者は従来のセキュリティツールを回避します。組織は、DNSテレメトリ、リダイレクト追跡、行動分析を活用した適応型検出フレームワークを構築する必要があります。これらの脅威をテスト環境でシミュレーションすることも、検出能力を攻撃者の進化より先に保つのに役立ちます。
読者との対話
翻訳元: https://www.darknet.org.uk/2025/07/malvertising-and-tds-cloaking-tactics-uncovered/