「niconico」見ている人にFlashの更新を促す偽メッセージ、実はマルウェア

動画サービス「niconico」において6月19日未明から、Flash Playerの更新を促す通知に見せかけて、マルウェアをダウンロードさせるサイトへと誘導するメッセージが表示される事象が発生していた。株式会社ドワンゴと株式会社ニワンゴが発表した。

 株式会社マイクロアドが提供する広告配信ネットワーク「MicroAd AdFunnel」経由で配信された広告に埋め込まれていた悪意のあるスクリプトが原因。ドワンゴなどによると、19日正午までに同広告ネットワークとの通信を遮断したとしている。
Flash Playerの更新を促すポップアップメッセージ(シマンテック公式ブログから画像転載)

 この事象について、セキュリティベンダーの株式会社シマンテックが同社公式ブログにおいて解説している。niconicoを視聴していると「このページは表示できません! Flash Playerの最新バージョンへのアップデート!」といった怪しいポップメッセージが表示され、「OK」ボタンをクリックすると、偽のFlash Playerのダウンロードサイトへリダイレクト。そこから偽のアップデートをダウンロードしてインストールしてしまうと、PCがマルウェアに感染する。

 このマルウェアは、使用しているウェブブラウザーの情報、PCのGUID、ハードディスクのシリアル番号、MACアドレスなどの情報を収集して外部に送信するほか、別のファイルをPCに投下するものだという。

 シマンテックの公式ブログでは偽ダウンロードサイトの画像も掲載しており、デザインなどは正規サイトに似せてあるが、日本語が怪しいことが分かる。例えば「現在インストールされているFlash Playerのバージョンは低いですので、更新してください」「新しいバージョンのFlash Playerは放送速度はもっと速くて、性能は良いとなります」などだ。また、正規のFlash Playerの最新バージョンは「14.0.0.125」だが、偽ダウンロードページでは「11.9.900.152」と記載されている点も異なる。
誘導先の偽ダウンロードサイト(シマンテック公式ブログから画像転載)

 MicroAd AdFunnelを提供するマイクロアドによると、問題となったスクリプトが仕込まれていた広告は米国の提携事業者から配信されていたもので、19日10時ごろに同事業者からの広告配信は停止したとしている。

 なお、MicroAd AdFunnelは、niconico以外の複数のサイトにも導入されているというが、今回の問題が報告されているのは現時点ではniconicoのみだという。マイクロアドでは、米国の提携事業者より20日中に調査報告を受ける予定だとしており、問題の広告が配信され始めた時期や実際に配信されていたサイトなどの情報も含めて、詳細は追って発表するとしている。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140620_654332.html