Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

サージェント・スキャマーズ・ロンリー・ハーツ・クラブ

Created: 08 Apr 2011 11:29:46 GMT • Translations available: English
Poul Jensen's picture
-1 1 Vote
Login to vote

インターネット広告は、収益をもたらすという点で、とてもやりがいのある手法となる可能性を秘めています。ただし、インターネット広告で高い見返りを得られるのは、その広告がクリックされた場合です。そのため、自らが管理するサイトでホストされた広告を何とかクリックさせるために、詐欺師は意欲的にさまざまな工夫をこらしています。彼らは、自動化スクリプト、電子メールスパムのリンク、あるいはそれ以外のどのような方法でも利用します。結局のところ、合法的なビジネスであれ、非合法なビジネスであれ、潜在的利益はイノベーションを促すというわけです。

しかしながら、広告ネットワークは、自らのネットワーク上での非合法な活動を特定する機能を備えています。そのため、詐欺師たちはさらに、できる限り多くの利益を挙げられるように、非合法な動きをできる限り長く隠しておく必要があります。これまで、Web サイトに接続し、広告をクリックするさまざまなトロイの木馬が確認されていますが、シマンテックは最近、もっと手の込んだ詐欺を確認しました。偽の出会い系、ソーシャルネットワーク、ブログサイトのネットワークを立ち上げ、複数のトロイの木馬を使ってその Web サイトに接続し、そこにある広告をクリックするという仕組みを持つものです。このプロセス全体が、偽の出会い系、ソーシャルネットワーク、ブログサイトを開発したのと同一の作成者によって制御されていると思われます。

この詐欺行為の仕組みを次に示します。

詐欺師は、見かけは正規の出会い系、ソーシャルネットワーク、ブログサイトを構築します。出会い系およびソーシャルネットワークサイトの開発には、本物の写真と基本的なプロフィール情報を使います。サイト自体の見栄えは、プロフェッショナルレベルの本格的なものです。

次に、Web サイトに接続してサイト上の広告をクリックするトロイの木馬を作成します。このトロイの木馬は、ページ上でリンクが貼られているものを何でもクリックします。クリックすると、プログラムの実行は先延ばしにされ、ランダムな時間が経過した後で再開されます(これは、明白な実行タイミングのパターンが特定されるのを防ぐためです)。

このトロイの木馬がどれほどの利益を生む可能性があるかをイメージするために、運用中の広告ネットワークで利用可能な公開情報を使用して、対象サイトのクリック報酬単価を基にいくつかのシナリオを算定しました。

  • Heyos.com - 1 回のクリックで 0.10 ~ 0.11 ユーロ。
  • Simply.com - 1 回のクリックで最低 0.20 ユーロ。
  • Google AdSense - その時点での AdWord のコストに応じて 0.35 ~ 3 ユーロ。
  • Arubamediamarketing.it - このサイトは、需要に基づいて単語が評価されるという点で Google と同様の機能を持っており、1 回のクリックで平均 0.15 ユーロ。

注意: ただし、Simply.com は、ここで述べるような詐欺行為の発生を防ぐために、サイト発行者のネットワークを日々しっかりと管理し、厳しい品質管理手法(Simply's Brand Protection Policy)に従っていると主張するでしょう。

上記の見積もり額を使用すると、ページ上の広告をすべてクリックし、そのページをリロードするたびに、0.80 ユーロの利益が生まれる計算になります。

さらに、先ほど少しだけ触れましたが、トロイの木馬は、ページ上のあらゆるリンクをクリックします。これには、現在のプロフィールの友人グループ内に表示されている、各メンバーのプロフィール画像に埋め込まれたリンクも含まれます。友人の数はユーザーによって異なりますが、通常は 3 ~ 5 人です。そのため、偽の友人のプロフィールページにある別の広告キャンペーンを巡回する可能性は限りなく高くなります。こうした「友人」は通常、詐欺師が作成した別のプロフィールです。トロイの木馬は、この方法で効率的に次々とクリックを実行できるようになるわけです。

トロイの木馬は、さまざまな間隔を置いて(たとえば約 15 分ごとに)このプロセスを再開します。最大限に見積もると、次のような利益が得られることになります。

プロフィールを 5 回ロード(ページ上の偽の友人の数)×(ページをリロードするたびに平均で 0.80 ユーロの利益)× 1 日に 96 回リロード(15 分ごとにリロード) = 1 日 384 ユーロ

この値は非常に高いように見えますし、実際、高い値です。おそらく、これが、コンピュータ 1 台に感染したトロイの木馬から期待できる最高額でしょう。

また、ほとんどの広告ネットワークは、個々の広告キャンペーンに対し、1 つの IP が 24 時間で何回クリックできるかを制限しています。そのため、正確な予測は難しいのですが、1 つの IP アドレスが広告を 24 時間に 1 回しかクリックできないと設定されていたとしても(つまり最も低く見積もった場合でも)、プロセス全体では相当な利益を生むことになります。ここまで、各ページに広告主が 4 つという状態を想定してきました。ここで、それぞれの広告主が 1 日に少なくとも 1 つのキャンペーンを行っていると仮定しましょう。この場合、感染したコンピュータごとに約 3 ユーロとなります。さらに検証を続ける中でもう 1 つわかったことは、広告元が 2 つまたは 3 つのキャンペーンを行っているということです。この事実を織り込むと、広告主は、感染したコンピュータごとに 1 日約 10 ユーロの利益を得ているという予測が成り立ちます。100 台のコンピュータに感染しただけでも、この作成者は 1 日に 300 ~ 1,000 ユーロの利益を稼ぎ出す可能性があるということです。こうして考えると、クリック詐欺が大きなビジネスになることがよく分かります。

次に、Trojan.Clickalone の実際のコードに埋め込まれたサイトを詳しく見ていくことにしましょう。

これは、偽装した Quickfriendfinder.com サイトの標準的な検索結果です。一見、よくある出会い系サイトのプロフィール検索に見えますが、このプロフィールの大半は、トロイの木馬の内部でハードコード化されています。それに、男女のプロフィールはごく少数で、その大部分はトロイの木馬のソースコードに直接含まれています。それでも、この Web サイトの見栄えは見事なもので、プロフェッショナルの手によるデザインと言えます。

このサイトがプロフェッショナルレベルの見栄えを備えている主な理由は、おそらく広告ネットワークに見つからないようにするためです。詐欺行為を見つけるためにこの Web サイトを調べても、完全に正規の Web サイトにしか見えません。おそらく広告ネットワークの関係者はそこに騙され、この不正行為がほんの少しだけ長く放置されることにつながります。詐欺師にすれば、高額の利益を得るまで見つからないようにしたいわけです。

サイトの見栄えがいいと、「実際」に人々が興味を持ち、登録してしまう可能性もあります。これにより、広告ネットワークとサイト自体の IP ターゲットオーディエンスが広がるため、サイトを調査しようとしても、さらにその実態を把握しにくくなります。

幸いなことに、トロイの木馬のコードを見れば、他の類似のサイトへの参照など、このプロセスがどのように動くかが分かるので、この脅威の作成者の目標がどこにあるのかをより明確に把握できます。これを把握できないと、この「プロフェッショナル」な詐欺サイトが気づかれずに存在する時間が長引くかもしれません。次のサイトはこの驚異に直接関係しており、偽の出会い系、ソーシャルネットワーク、ブログサイトのグループを構成しています。

  • Gaydate4u.com(現時点ではアクセスできません)
  • Hotguysandgirls.co.za
  • Hotlove.bg
  • Michona.com
  • Randevu.sk(Cupidomeet.com のクローンのようです)
  • Randevu.us

Michona.com を簡単に見てみると、トップのプロフィールはどれもテレパシーを使える双子のように見えます。そうでなければ、どのプロフィールも人為的に作成したものでしょう。

どのユーザーも同じタイミングでプロフィールを作成しているのに加えて、身長も、活動日付も、基本的なプロフィール設定も同じです。これらの写真は、トロイの木馬を使った別の出会い系サイトである Randevu.us にも載っています。おそらく、別のサイトでも見つかるでしょう。いずれも、巧妙で実入りの良い、現在進行形のクリック詐欺です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。