【公式アカウント変更】旧min.tのXアカウントをposfie公式に変更しました。フォローし直しをお願いします
nafumofu @nafu_mofu

当選詐欺リダイレクト広告の配信経路とメカニズム

まとめました。
218
nafumofu @nafu_mofu

最近話題のGoogleを装った当選詐欺サイトにリダイレクトする不正広告を調べてみました。

2018-09-10 15:19:11

不正広告の配信経路

nafumofu @nafu_mofu

まずは不正広告の配信経路から。 現時点で確認した配信経路は次のものです。(読み込み順序は番号順)

2018-09-10 15:19:12
nafumofu @nafu_mofu

◆ Togetter 1. pubmatic[.]com 2. advertising[.]com 3. mathtag[.]com 4. aoxmediamarketing[.]com

2018-09-10 15:19:12
nafumofu @nafu_mofu

◆ Engadget 1. blogsmithmedia[.]com 2. aolcdn[.]com 3. atwola[.]com 4. adtechjp[.]com 5. mathtag[.]com 6. aoxmediamarketing[.]com

2018-09-10 15:19:12
nafumofu @nafu_mofu

◆ イザ! 1. doubleclick[.]net 2. proparm[.]jp 3. adingo[.]jp 4. proparm[.]jp 5. microad[.]jp 6. adtechjp[.]com 7. mathtag[.]com 8. aoxmediamarketing[.]com

2018-09-10 15:19:13
nafumofu @nafu_mofu

◆ 現代ビジネス 1. googletagmanager[.]com 2. tynt[.]com 3. 33across[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com

2018-09-10 15:19:13
nafumofu @nafu_mofu

◆ みんゆうNet 1. adtechjp[.]com 2. mathtag[.]com 3. aoxmediamarketing[.]com

2018-09-10 15:19:13
nafumofu @nafu_mofu

◆ 沖縄タイムス 1. softbank[.]jp 2. genieesspv[.]jp 3. adtechjp[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com

2018-09-10 15:19:13
nafumofu @nafu_mofu

◆ 愛媛新聞ONLINE 1. softbank[.]jp 2. genieesspv[.]jp 3. adtechjp[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com

2018-09-10 15:19:14
nafumofu @nafu_mofu

◆ 福井新聞ONLINE 1. softbank[.]jp 2. genieesspv[.]jp 3. adtechjp[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com

2018-09-10 15:19:14
nafumofu @nafu_mofu

◆ Retty 1. rubiconproject[.]com 2. 33across[.]com 3. mathtag[.]com 4. aoxmediamarketing[.]com

2018-09-12 13:56:40
nafumofu @nafu_mofu

◆ Washington Post 1. washingtonpost[.]com 2. indexww[.]com 3. advertising[.]com 4. mathtag[.]com 5. aoxmediamarketing[.]com

2018-09-14 14:38:31
nafumofu @nafu_mofu

◆ BuzzFeed 1. buzzfeed[.]com 2. rubiconproject[.]com 3. mathtag[.]com 4. aoxmediamarketing[.]com ※ sandbox属性によってリダイレクトは阻止された

2018-09-19 05:04:37
nafumofu @nafu_mofu

aoxmediamarketing[.]com が悪質なスクリプトを配信しているサーバーです。 aoxmediamarketing[.]com はどれも mathtag[.]com から配信されているのが分かります。

2018-09-10 15:19:14

不正広告の動作

nafumofu @nafu_mofu

次に不正広告の動作について。 不正広告は主に3個のローダーと1個のリダイレクターによって構成されています。

2018-09-10 15:19:14
nafumofu @nafu_mofu

◆ ローダー1 ・ユーザーエージェントから実行環境を検出して結果を"ローダー2"のURLパラメーターに追加 ・"ローダー2"のURLを生成して読み込み

2018-09-10 15:19:15
nafumofu @nafu_mofu

◆ ローダー2 ・ブラウザのフィンガープリントを作成して"JSONファイル"のURLパラメーターに追加 ・"JSONファイル"のURLを生成してダウンロード ・"JSONファイル"から広告データを取り出して広告を表示 ・"JSONファイル"から"ローダー3"のJSコードを取り出して実行

2018-09-10 15:19:15
nafumofu @nafu_mofu

◆ ローダー3 ・デバッガーを検出して結果を"リダイレクター"のURLパラメーターに追加 ・"リダイレクター"のURLを生成して読み込み

2018-09-10 15:19:15
nafumofu @nafu_mofu

◆ リダイレクター ・当選詐欺サイトに強制リダイレクト

2018-09-10 15:19:16
nafumofu @nafu_mofu

◇ 補足 ・一定時間内に同一環境からアクセスした場合は"JSONファイル"に"ローダー3"のコードが含まれなくなる ・そのため、リダイレクトは行われずに広告が表示されるのみとなる ・これは不正広告の特定と解析を妨害するためと思われる

2018-09-10 15:19:16

リダイレクトの仕組み

nafumofu @nafu_mofu

最後にリダイレクターのコードを見ていきます。

2018-09-10 15:19:16
nafumofu @nafu_mofu

1枚目がオリジナル 2枚目がコードを整形したもの 3枚目がコードを可読化したもの pic.twitter.com/tFVboRcRVX

2018-09-10 15:19:16
1 次へ
まとめたひと
nafumofu @nafu_mofu

アイコンはWaifu Labsから。

あわせて読みたい

「お金を払うと広告を表示しない」という仕組みを採用すると何が起こるのか

 63 170 21 users 28

ドラマ「仁Jin」のドラマ内サブリミナル広告が大失敗してる件

 23 1 17 users 7

X上で猛威をふるう歯の広告「もっと早く知りたかった」 ブロックもミュートも効かない

 6 26