2015.12.17: 関連リンク追加、顛末のまとめなおし
2015.08.21: 初出
このページは、2015年8月~9月に私のPCで発生した「Webページの広告ハイジャック」を解消する方法を紹介したページです。問題解消後、情報をまとめなおしました。
こういう不具合は 数か月単位の短いスパンで攻撃者のトレンドが変わって来ますので、このページはいつまで通用する情報になるかは不明です。
症状
- ブラウザで開いたWebページに、明らかにおかしな広告 (海外の広告) が出る
- IEで発生する。
「Webページの広告が勝手に海外広告に上書きされる」という表現がぴったりくるカンジ。
- ブラウジングしていると、Webページを表示してから1~2分経った頃に「広告の表示が不自然に」切り替わり、「そのサイトと無関係と思われる英語の広告」が出てしまう
- その後はどのページを開いても同じ広告が表示される
- Firefoxは広告ジャックは起きないが作動が非常に不安定になる。
- Edge、Google Chromeでは発生しない (Flash の違い?)
- IEで発生する。
- 問題の広告はFlashを利用した広告である
- 当時Flash Playerは最新の状態。2015年8月2週目のFlash Playerのセキュリティアップデートを適用した直後から問題が発生した。
- 毎日閲覧するサイトのいずれかで感染している感じ。でも感染源がわからない。
- セキュリティソフトは反応しない。
問題となったFlash
- 何度も巡回コースを回りまくり、「Webページの広告ハイジャック」のキッカケとなるWeb広告は「jwplayer」関連の広告である事が判明。
- 問題の1サイトを表示しただけではこの広告は表示されない。
- 「問題のサイト1」を閲覧した後で「問題のサイト2」を開くと、「問題のサイト2」側で (AdsenseなどでFlash広告が表示されると) 広告ハイジャックが発生する。
- 「問題のサイト1」はCookie発行係で、他サイトに配信された広告でそのCookieがある場合に広告ジャックが発生する、という仕組みなのだろうか?
- この法則性に気が付くまでにかなり時間がかかった。
- 「問題サイト1」をFirefoxで開く、「問題サイト2」をIEで開く
などとブラウザを分けると問題は発生しなくなった。
ウイルス感染、マルウェア感染の可能性について
- 該当する期間に、怪しいサイトへ行った覚えはない。
- 怪しいフリーツールをインストールした記憶もなし。
- MSEでのウィルススキャンも問題なし。
有効な対処方法
- Flashを無効にしてブラウジングする
- Google Chrome または Edge を利用してブラウジングする
- 消極的だがこれらが一番の解決策となってしまった。
その他の対処方法
今回の問題では、以下は効果が薄い・もしくは全く効果がない、という状態だった。
- 一般的な対処方法
ネット利用中に「変な広告」「同じ広告」が出て消えない時の対処方法
- 今回は効果なし
- というか巡回コースで発生していたため、対処しても1~2日で広告ジャックが再発してしまう。
- それなりに効果の高かった対策
- ブラウザのキャッシュ削除&PCを一度セーフモードで起動する
→ Windows 10 をセーフモードで起動する方法 - 多少効果あり。
一時的に問題の広告は出なくなるが、あちこちWeb巡回していると再び同じ広告が出るようになる - セーフモード実行の前に試した事
- PC再起動しても問題は解消せず。
- PCシャットダウン、コンセント引き抜き、数分放置で完全放電 → 効果なし
(高速スタートアップ無効) - sfc /scannow、DISM.exe /Online /Cleanup-image /Restorehealth なども異常は発見されない。
- ブラウザのキャッシュ削除&PCを一度セーフモードで起動する
- 問題がようやく解消し、このページをまとめている最中に「Flash Playerのキャッシュまたはシステムにゴミを入れられたのが原因なんじゃね?」とようやく気が付いた。
- Flash Playerのメンテナンスを行えば解消する問題だったかもしれない。
(サイト内 Flash Playerのメンテナンス方法の解説ページ)
- Flash Playerのメンテナンスを行えば解消する問題だったかもしれない。
その他1
Web広告経由の感染と思われるが、国内の大手ニュースサイトでは大規模な感染報告なし。
個人レベルのこういう情報に非常に詳しいサイト
上記のサイトでも該当期間で自分の問題に類似している情報は見つけられなかった。
私の場合、普通の人は巡回しないような海外サイトも巡回するので、そこで感染している可能性が高い。(事実、問題サイトの1つは海外サイトだった。)
その他2
- 同時期から デスクトップ上のいくつかのアイコンが化ける現象が発生した
- この問題もセーフモード起動で解消された。
- 同じ問題か、別問題か、結局分からずじまい。
- サイト内関連
アイコンが化けたり、正常に表示されない時の対処方法
後日談
決定的な対策が打てる前に、(というか恐らくWindows Updateの定例外パッチを適用後に) この問題は2015年9月初旬に自然消滅、解消してしまった。
このページを更新した直後、以下のニュースを発見。
8/19~20付けのニュース
- Microsoft、IEの緊急パッチを公開 既に悪用も - ITmedia エンタープライズ
- Microsoftの月例セキュリティ情報公開、Windows 10やEdgeの脆弱性を修正 - ITmedia エンタープライズ
一部転載
Microsoftは8月19日、Internet Explorer(IE)の脆弱性を修正するセキュリティ更新プログラム(MS15-093)を定例外でリリースした。既に悪用が確認されており、ユーザーに早期の適用を呼び掛けている。
---中略---
このうちEdgeの累積的な更新プログラム(MS15-091)では、メモリ破損問題など4件の脆弱性に対処した。Windows 10とEdgeの組み合わせに脆弱性があり、細工を施したWebページをEdgeで閲覧すると、攻撃者に任意のコードを実行される恐れがある。悪用される可能性は高いとみられるが、現時点で悪用の事実は確認されていないという。
一方、IEの累積的な更新プログラム(MS15-079)で修正された多数の脆弱性は、IE 7~11とWindows Vista~Windows 10との組み合わせが影響を受けることが確認されている。特にクライアント版は深刻度が高い。こちらも現時点で悪用の事実は確認されていない。
こいつらが原因だったんじゃないの?と思うようになってきた。
時期的にWindows Updateとも重なるし、問題が直った時期も修正パッチ配布時期と重なる。しかし、この脆弱性の悪用が原因だったと仮定すると、既に攻撃を受けてしまったPC は、修正パッチの適用後、PCを一度セーフモードで起動しなければ問題は解消しない、という事になる。