Last Updated on 2025-05-15 08:25 by admin
セキュリティ研究者が「Kaleidoscope(カレイドスコープ)」と呼ばれる新たな広告詐欺ネットワークを発見した。このマルウェアはAndroidユーザーに対してスキップできない広告を大量に表示する攻撃を行っている。
詐欺の仕組み
Kaleidoscopeは、Google Play Storeの一見正規に見えるアプリと、サードパーティのアプリストアで配布される悪意のあるそっくりアプリを通じてAndroidユーザーを標的にしている。両方のバージョンのアプリは同じアプリIDを共有しており、「イーブルツイン(悪の双子)」と呼ばれる手法を使用している。広告主は「正規」アプリに表示される広告に対して支払いをしていると思っているが、サードパーティのアプリストアからバージョンをダウンロードしたユーザーには同じ広告が表示される-ただし、それらはスキップできない仕組みになっている。
研究者たちは、Kaleidoscopeに関連する130以上のアプリを発見し、毎月約250万件の新規不正インストールが行われていると推定している。インドが感染の20%を占め、インドネシア、フィリピン、ブラジルなどにも広がっている。
影響と被害
感染したデバイスでは、以下のような症状が現れる
- ユーザーの操作なしに全画面の広告(画像や動画)が表示される
- デバイスの動作が遅くなる
- バッテリーの消耗が早くなる
- デバイスが過熱する
技術的背景
Kaleidoscopeは「Leisure」「Raccoon」「Adsclub」という3つの異なるSDKを使用しており、これらはすべて以前のCaramelSDKを改変したものと考えられている。2024年7月にHUMAN Securityによって発見された「Konfety」広告詐欺キャンペーンとの関連性も指摘されている。
ポルトガルの広告会社「Saturn Dynamic」が、Kaleidoscopeの不正広告の多くに関連していることも判明している。
対策方法
Googleは既に悪意のあるアプリをPlay Storeから削除しており、Google Play Protectは悪意のある動作をするアプリからユーザーを自動的に保護している。
広告詐欺関連のマルウェアからデバイスを守るためには:
可能な限りGoogle Play Storeからアプリを入手する
新しいアプリに許可する権限に注意する(特に「他のアプリの上に表示」という権限は要注意)
怪しい広告サイトからの通知表示許可には注意する
Androidデバイスに最新のセキュリティソフトウェアを導入して使用する
MalwarebytesはKaleidoscopeファミリーのマルウェアを「Adware.AdLoader.EXTNXN」として検出している。
References:
Android users bombarded with unskippable ads
【編集部解説】
Kaleidoscopeと名付けられたこの広告詐欺ネットワークは、従来の広告詐欺とは一線を画す新たな脅威です。通常、広告詐欺はデバイスユーザーにとって目立った被害をもたらさないことが多いのですが、今回のケースでは直接的な被害が発生している点が特徴的です。
この詐欺の巧妙さは「イーブルツイン(悪の双子)」と呼ばれる手法にあります。正規のGoogle Play Storeに公開されている無害なアプリと、サードパーティのアプリストアで配布される悪意のあるクローンアプリが同じアプリIDを共有することで、広告主を欺いています。
Integral Ad Science(IAS)の研究者たちによると、この詐欺ネットワークは月間約250万台の新規デバイスに感染を広げており、その被害は世界中に及んでいます。特にインドでは全体の20%を占め、インドネシア、フィリピン、ブラジルなどにも大きな被害が広がっています。
Kaleidoscopeの背景には、2024年7月にHUMAN Securityによって発見された「Konfety」という大規模な広告詐欺キャンペーンとの関連性が指摘されています。両者は「CaramelAds SDK」を基にした技術を悪用している点や、「イーブルツイン」手法を使用している点で共通しています。これは詐欺グループが対策を講じられた後も、手法を進化させて活動を継続していることを示唆しています。
特筆すべきは、この詐欺ネットワークの規模と洗練された手法です。IASの研究者たちによると、Kaleidoscopeは130以上のアプリIDに関連付けられており、その背後には「Leisure」「Raccoon」「Adsclub」という3つの異なるSDKが使用されています。これらはすべて以前のCaramelSDKを改変したものと考えられています。
また、IASの研究者たちはKaleidoscopeの不正広告の多くがポルトガルの広告会社「Saturn Dynamic」に関連していることを突き止めています。このような詐欺ネットワークの背後には、しばしば正規の広告エコシステムを悪用する企業が存在することが明らかになっています。
ユーザーにとっての直接的な被害は、スキップできない全画面広告の表示だけではありません。デバイスのバッテリー消耗の加速、過熱、全体的なパフォーマンスの低下など、スマートフォンの使用体験を著しく損なう影響があります。
広告エコシステム全体に目を向けると、この種の詐欺は広告主の信頼を損ない、デジタル広告市場全体に悪影響を及ぼす可能性があります。広告主は実際には見られていない広告に対して支払いをしており、業界全体で年間数十億ドルの損失につながっています。
対策としては、Google Play Protectが自動的に悪意のあるアプリからユーザーを保護していますが、それだけでは不十分です。ユーザー自身も、アプリのインストール元に注意し、不審な権限要求(特に「他のアプリの上に表示」など)には警戒する必要があります。
この事例は、モバイルセキュリティの課題が単なる技術的な問題ではなく、ユーザー体験と広告エコシステム全体に関わる問題であることを示しています。今後も詐欺手法は進化し続けるため、セキュリティ企業、プラットフォーム提供者、そしてユーザー自身による継続的な警戒と対策が求められるでしょう。
【用語解説】
広告詐欺(Ad Fraud):
広告主に対して、実際には人間が見ていない広告表示やクリックに対して料金を請求する詐欺行為。自動プログラム(ボット)などを使って偽の広告表示やクリックを生成する。
イーブルツイン(Evil Twin)方式:
「悪の双子」とも呼ばれる手法で、正規のアプリと同じアプリIDを持つ悪意のあるコピーアプリを作成・配布する詐欺手法。正規版と悪意のある版が同じIDを共有することで、広告主を欺く。
SDK(Software Development Kit):
アプリ開発者がアプリに特定の機能を追加するためのツールキット。Kaleidoscopeでは「Leisure」「Raccoon」「Adsclub」という3つの悪意のあるSDKが使用されている。
Google Play Protect:
Androidデバイスに組み込まれたマルウェア保護・検出サービス。アプリをスキャンして悪意のあるソフトウェアを検出・削除する。
アドウェア(Adware):
「広告支援ソフトウェア」の略で、ポップアップやポップアンダーウィンドウなどを通じて広告を表示するソフトウェア。グレイウェアに分類され、必ずしも悪意があるわけではないが、侵襲的でうるさいことが多い。
GIVT(General Invalid Traffic):
一般的な無効トラフィックと呼ばれ、良性のクローラーや非悪意のあるボットによって生成されるトラフィック。基本的な手段で簡単に識別・フィルタリングできる。
SIVT(Sophisticated Invalid Traffic):
高度な無効トラフィックと呼ばれ、保護対策を回避するように設計された悪意のある巧妙なトラフィック。識別・追跡が困難で、高度な分析や直接的な人間の介入が必要となる。
【参考リンク】
Integral Ad Science (IAS)(外部)
デジタル広告の品質測定と最適化を提供する企業。Kaleidoscope詐欺ネットワークを発見・分析した。
Malwarebytes(外部)
サイバーセキュリティソフトウェアを提供する企業。Kaleidoscopeファミリーのマルウェアを検出している。
HUMAN Security(外部)
ボットやフラウド対策のセキュリティ企業。2024年7月に類似の「Konfety」広告詐欺を発見した。
【参考動画】
【編集部後記】
皆さんのスマートフォンで、突然表示される広告に悩まされたことはありませんか?今回紹介したKaleidoscopeのような広告詐欺は、私たちが日常的に使うデバイスにも忍び寄っています。「他のアプリの上に表示」という権限を求めるアプリに出会ったとき、少し立ち止まって考えてみてはいかがでしょうか。また、お使いのAndroidデバイスでGoogle Play Protectが有効になっているか確認してみるのも良いかもしれません。皆さんはどのようなセキュリティ対策を実践していますか?SNS欄でぜひ教えてください。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
