脅威アクターVane Viper(別名Omnatuor)が悪意のある広告技術プロバイダーとして正体を暴露された。Infobloxが先週GuardioとConfiantと共同で発表した技術レポートによると、同組織は少なくとも10年間にわたりマルバタイジング、広告詐欺、サイバー脅威拡散の中核インフラを提供してきた。
Vane Viperは過去1年間で約1兆件のDNSクエリを生成し、何十万もの侵害されたウェブサイトと悪意のある広告を利用している。約60,000のドメインがインフラの一部を構成し、2024年10月には月間3,500ドメインを新規登録した。これは2023年4月の500ドメイン未満から大幅増加である。
同組織は商業広告技術会社PropellerAdsの子会社Monetagと関連があり、PropellerAdsはキプロス拠点の持株会社AdTech Holdingの子会社である。Vane ViperはURL Solutions、Webzilla、XBT Holdingsとインフラや人員のつながりを共有している。
PropellerAdsは不正行為を否定し、自動化された仲介サービスに過ぎないと主張している。
From: 
Vane Viper Generates 1 Trillion DNS Queries to Power Global …
【編集部解説】
今回のVane Viper事案は、広告技術エコシステムの闇の部分を浮き彫りにする重要な発見です。1兆件という膨大なDNSクエリ数は、現代のサイバー犯罪がいかに大規模で組織化されているかを物語っています。
最も注目すべきは、この脅威グループが単なるハッカー集団ではなく、正規の広告技術企業として偽装している点でしょう。PropellerAdsのような商業的な広告配信プラットフォームを隠れ蓑に使うことで、違法行為を合法的なビジネスに見せかける手法は極めて巧妙です。
技術的な観点から見ると、プッシュ通知の悪用やサービスワーカーの持続的プロセス利用は、現代のウェブ技術の脆弱性を突いた手法といえます。ユーザーがページを離れても広告配信を継続できる仕組みは、本来便利な機能が悪用された典型例です。
特に深刻なのは、月間3,500ドメインという急激な新規登録ペースです。2023年4月の500ドメイン未満から7倍の増加は、この種の犯罪インフラが急速に拡大していることを示しています。短期間でドメインを使い捨てる手法により、セキュリティ対策を困難にしている状況が見て取れます。
この事案が示すリスクは、一般ユーザーだけでなく企業のブランド保護にも及びます。正規の広告枠が悪意のあるコンテンツに悪用される可能性があり、広告業界全体の信頼性に影響を与えかねません。
【用語解説】
DNS(Domain Name System)
ドメイン名をIPアドレスに変換するインターネットの基盤技術。ウェブサイトにアクセスする際に必要不可欠なシステムで、DNSクエリはこの変換要求を指す。
マルバタイジング(Malvertising)
悪意のある広告を指す造語。正規の広告ネットワークに偽装して配信され、クリックするとマルウェア感染やフィッシングサイトへ誘導される。
TDS(Traffic Distribution System)
トラフィック配信システム。ユーザーのアクセスを様々な条件に基づいて振り分けるシステムで、サイバー犯罪者が検知回避のために悪用することがある。
サービスワーカー
ウェブブラウザのバックグラウンドで動作するJavaScriptの機能。プッシュ通知の配信などに使われるが、悪意のある目的で悪用されるケースがある。
ClickFix
ユーザーを騙してクリックを誘発するソーシャルエンジニアリング手法の一種。
【参考リンク】
Infoblox(外部)
DNS、DHCP、IPアドレス管理を統合したネットワークインフラ自動化ソリューションを提供する企業。今回の脅威レポートの主要発表者である。
PropellerAds(外部)
デジタル広告プラットフォームを運営する広告技術企業。今回の事案で関連が指摘されているが、同社は不正行為を否定している。
Guardio(外部)
ブラウザセキュリティに特化したサイバーセキュリティ企業。悪意のある拡張機能やフィッシングサイトからユーザーを保護するソリューションを提供する。
【参考記事】
Vane Viper linked to over 1 trillion DNS queries & ad fraud scams(外部)
Infobloxの報告書を基にVane Viperの活動規模と手法について詳しく解説。1兆件のDNSクエリという数値の重要性と、広告詐欺の仕組みについて技術的な観点から分析している。
‘Vane Viper’ Threat Group Tied to PropellerAds(外部)
PropellerAdsとVane Viperの関連性について詳細に調査した記事。企業間の複雑な所有構造と、合法的な広告事業を隠れ蓑にした犯罪活動の実態を明らかにしている。
New Research Uncovers Large-Scale Malicious Ad Network(外部)
Infoblox、Guardio、Confiantの共同研究発表のプレスリリース。Vane Viperの活動期間、影響範囲、および広告技術業界全体への影響について包括的にまとめている。
【編集部後記】
この記事を読んで、普段何気なく見ている広告の裏側に潜む脅威について、いかがでしたでしょうか。私たちが日常的に利用するウェブサイトでも、知らず知らずのうちにこうした悪意のある仕組みに接触している可能性があります。
特に気になるのは、今回の1兆件というDNSクエリの規模です。これは私たち一人ひとりのインターネット利用が、どれほど大きなデータの海の中にあるかを物語っているように感じます。
読者の皆さんは、ウェブ広告をどのように見ていますか?また、こうした脅威から身を守るために、普段どんな対策を心がけていらっしゃるでしょうか。セキュリティソフトの利用や怪しい広告を避ける以外にも、何か実践されている工夫があれば、ぜひお聞かせください。私たちも一緒に学んでいきたいと思います。
