前回、ネット詐欺で12億円を稼いだサイバー犯罪グループは、ユーザーに「DNS Changer」と呼ばれる不正プログラムを感染させていたことを解説した。DNS Changerに感染させたコンピュータを利用して実際に金銭的利益を得るために、サイバー犯罪グループが実施したのが「クリックハイジャック」と「偽広告」である。

 クリックハイジャックは、検索エンジンで表示される正規の検索結果の特定のリンクをクリックした際に、別の不正なサイトに誘導する仕掛けである(図1)。

図1●クリックハイジャックのイメージ
図1●クリックハイジャックのイメージ

 通常の検索結果はもちろん、広告料が発生するスポンサードリンクに対してもこのクリックハイジャックが行われていた。つまり、ユーザーがDNS Changerに感染すると、広告表示から正規の誘導先ではなく不正なサイトにユーザーが誘導される。ユーザーが偽セキュリティソフトを購入してしまったり、医薬品を違法な形で購入してしまったりするおそれがあった。

編注:ブラウザー上でリンクをクリックした場合、DNSでドメイン名をIPアドレスに変換する。それを悪用して、検索結果は正規のものを表示しながら、リンク先をクリックした場合の誘導先のみをDNS Changerで置き換える。

通常の検索結果はリンク先のIPアドレスが置き換わるだけだが、スポンサードリンクは広告の表示そのものを入れ替えていた。これによりDNS Changerに感染したコンピュータは、アクセスしたWebサイトの一部に不正サイトへのリンクが表示される状態だった。

 加えて、スポンサードリンクの正規の広告主にも被害があった。ユーザーの画面上で表示されているのが不正サイトにもかかわらず、正規の広告主が広告事業者から広告表示、クリックへの対価を請求された。正規の広告主は実際には広告が表示、クリックされていないのに、不正サイトの広告表示、クリック分を支払わされることになる、という構図である。

編注:DNS Changerに感染したユーザーのコンピュータ上で表示を入れ替えるため、検索事業者や広告事業者からは正規の広告を出稿したように見える。