Googleがカリフォルニア大バークレー校と協力して行った研究によると、Googleのサイトやサービスを訪れた人の5%が、ブラウザーにアドインジェクター[広告挿入ツール]を1つ以上インストールされていた。
マルウェアの中では、アドインジェクターは比較的無害に思われがちだ。例えば、Google検索ページに本来そこに属さない広告を挿入する。迷惑ではあるが危険とは感じられない。しかし、実はアドインジェクションのやっていることはLenovoのSuperfishがやっていたことと変わらず、Superfishはユーザーに大きなセキュリティー問題を引き起こした。実際、Chrome、Firefox、およびInternet ExplorerからGoogleサイトをアクセスした1億ページビューの分析に基づく本調査によると、問題のインジェクターの1/3は「正真正銘のマルウェア」に分類されている。
この種のアドインジェクターは正規のソフトウェアにバンドルされることが多いことから ― デスクトップアプリの開発者やダウンロードサイトは、これをインストーラーやダウンロードラッパーを使って比較的簡単に小遣い稼ぎができる方法だと認識している ― ユーザーの知らない間にインストールされる可能性が十分にある。
Googleおよびバークレーの研究者らの間では、アドインジェクターは現在あらゆる主要なプラットフォームおよびブラウザーに存在していると考えられている。今回1つ以上がインストールされていた5%のうち、1/3は同時に4種類が動作中で、半数は2種類が動いていた。他の人たちよりも少々ひっかかりやすいユーザーのグループがあることは明らかだ。
Googleは、結果データを発表し(詳細は5月1日に報告)、アドインジェクターへの注意を喚起すると言っている。
「望まないインジェクターは健全な広告エコシステムと相応れない」、とGoogleのセーフブラウジング担当エンジニア、Nav Jagpalが今日の声明に書いている。「あれはユーザーだけでなく広告主やサイト運営者をも困らせる悪い慣習の一環だ」。
この種のプログラムは、自らをブラウザーとウェブサイトの中間に挿入してウェブサイトのコードを書き換えるため、ブラウザーはどの広告が正規のものでどれがそうでないかを判断するのが難しい。
「広い意味で、ユーザーに表示される情報を最終的に制御するのは誰かという問題が益々重要性を帯びてきている ― これはデジタル世界が直面している最大の課題の一つだ」とUCバークレーEECS教授のVern Paxsonが今日の声明で指摘した。「アドインジェクションはユーザー操作の整合性を破壊し、いずれの対話者とも無関係な制御を密かに挿入する。そうやってこの争いの「前線」の一つとして機能する。
Googleは、この研究に基づき1400万ユーザーに影響を与えていたChrome機能拡張192種を既に禁止しており、現在同研究と同じ方法を使って、Chrome Web Store上の新規および更新された機能拡張を残らず検査していると言った。
Googleの広告およびブラウザー機能拡張の利用規約は、詐欺的アドインジエクターをかなり厳しく取締っているが(他の広告ネットワークも同様)、それを作っている会社の殆どはルールを守ることに熱心ではない。また、広告ネットワークも自分たちの広告がこういう形で使われていることを知らない場合が多いことも指摘しておくべきだろう。
Googleを始めとするブラウザーや広告のベンダーがこの問題の技術的解決策を見つけない限り、完全に消えることはないだろう。
[原文へ]
(翻訳:Nob Takahashi / facebook)