後編では不正広告から不正サイトへ誘導される動作について解説します。
まず、不正広告には一つのWebページ内に別のWebページを表示する技術である「iframe」が組み込まれており、不正サイトへユーザーを誘導していました。
図5●不正広告に追加されていたiframe
[画像のクリックで拡大表示]
このiframeは不正広告の上部に小さく表示されていましたが、恐らく多くのユーザーはこのiframeに気付かなかったでしょう。
iframeにより不正サイトへユーザーを誘導する場合、多くのケースでは高さと幅が“ゼロ”である非表示のiframeが使われます。しかし、セキュリティ対策製品の中には、非表示のiframeを不審なものとして検出する機能を備える製品があります。攻撃者は検出を回避するため、あえて小さく表示するiframeを利用した可能性があります。
図6●不正広告の上部に表示されていたiframe(赤枠部分)
[画像のクリックで拡大表示]
誘導先の不正サイトからは、不正なJavaScriptを含むHTMLファイルがダウンロードされます。しかし、JavaScriptは難読化されているため、少し見ただけではどのような動作をするのか把握することが困難です。
図7●誘導先不正サイトのHTMLソース
[画像のクリックで拡大表示]
