マルバタイジング:ネット広告のモデルが、いかに犯罪者を儲けさせるのか~そして……すべての金銭的な損害の責任は、誰が負うのか?(その 1)(The Register)
マルバタイジングは、攻撃に対して脆弱な相手だけを効果的に狙うことができるため、非常に費用対効果が優れている。Kleczynski は「『インプレッション数の従量課金』は、基本的に『感染数の従量課金』だ」と表現した。
国際
TheRegister
マルウェアフリンガー(マルウェアを投じる悪者)によるインターネット広告ネットワークのエクスプロイトは、今年の年末までに最高 10 億ドル(編集部註:約 1,230 億円)の損害を引き起こすだろうと予測されている。しかし、それを規制するための取り組みが続けられる一方で「誰が、この非常に大きな損失の責任を問われるのか」は明確となっていない。
オンラインの広告者によるユーザーのプロファイリングがますます洗練されたことにより、広告ネットワークのエクスプロイトは、非常に優れた費用対効果で犠牲者にダメージを与えられるようになった。広告ネットワークの「インプレッション(表示回数)を販売する手法」のおかげで、広告を表示する相手の所得プロフィールやブラウザの種類、また「ブラウザでアンチウィルスが動作しているか否か」によって、脅威のペイロードを絞り込むことができるようになった。犯罪者たちは、これらの要因のおかげで(また新規顧客のエントリの障壁が低いことと相まって)投資により高い収益を得ることができる。
関連記事
-
Daily Mail がエクスプロイトキット「Angler」の釣り針にかかる~Malwarebytes「悪質なマルバタイジングが混乱をもたらす」(The Register)
-
Android アプリに猥褻な広告のマルバタイジングが投じられる~次の電車が来る時間は……「セクシー映像がここに!」(The Register)
-
ウェブ広告の巨大なブービートラップ活動はいかにして、これほど長い間、検出を避けてきたのか~Malwarebytes が光を投じた「Angler Exploit Kit」の攻撃(The Register)
-
Superfish:Lenovo はアドウェアを廃止するが、それは SSL の大きな脆弱性の解決にはならない~広告挿入のクラップウェアに対処する方法(The Register)
Scan PREMIUM 会員限定記事
もっと見る-
脆弱性と脅威Sysinternals Suite PsExec において名前付きパイプのハイジャックによりSYSTEM 権限が奪取可能となる手法(Scan Tech Report)
Microsoft OS の遠隔管理ツールである Sysinternals Suite の PsExec に、SYSTEM 権限の奪取が可能となる手法が公開されています。
-
とんだ新年挨拶、証明書期限切れでCheck Point VPNの一部ユーザーが混乱
Check Point社の一部顧客が頭の痛い正月を迎えたのは、二日酔いのせいだけではなかったようだ。パッチの適用が遅れたために、中にはシステムが操作不能のままとなったり修正が困難な状況が続いているケースもある。
-
2020 総括/SolarWinds 介しサプライチェーン攻撃/不完全パッチによる残留 0day 公開 ほか [Scan PREMIUM Monthly Executive Summary]
2020 年最後の月は、インシデントが多く報じられました。まず、米国政府 機関などへの SolarWinds 社製品を介したサプライチェーン攻撃は、米国土安 全保障省( DHS )が緊急指令を発出するなど、世界的な注目を集めました。
-
セキュリティインシデントの当事者になったその後
株式会社ディアイティの青嶋信仁氏の講演(CODEBLUE2019@TOKYO)をもとに、インシデント対応における情報公開と謝罪会見・記者発表の注意点をまとめてみたい。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
Apache Tomcat における Java API の実装不備に起因する情報漏えいの脆弱性
マイクロソフトが1月のセキュリティ情報を公開、一部脆弱性については悪用の事実を確認済み
Sysinternals Suite PsExec において名前付きパイプのハイジャックによりSYSTEM 権限が奪取可能となる手法(Scan Tech Report)
SKYSEA Client View のインストーラに DLL 読み込みに関する脆弱性
WordPress 用WooCommerceプラグインのNAB Transact エクステンションにおけるデータの整合性検証不備に関する脆弱性
トレンドマイクロ製InterScan Web Securityシリーズの管理画面用サービスに複数の脆弱性
インシデント・事故 記事一覧へ
花卉卸売大手のWebサイトに不正アクセス、不審メール送信の踏み台に
消防本部が迷惑メールの踏み台に、メール遅延発生
kintoneに連携「kMailer」で不具合、送信ログとして別顧客の情報が流出
カプコンへのランサムウェア攻撃、新たに16,406人の情報流出を確認
ソフトバンク元社員 不正競争防止法違反容疑で逮捕、楽天モバイルに技術情報持ち出し疑い
神奈川県と富士通リースがHDD盗難のクリスマス和解 ~ 賠償 4,097 万円 再発防止策差し引き和解金 2,369 万円で合意
調査・レポート・白書 記事一覧へ
2020年度版「CrowdStrike グローバルセキュリティ意識調査」発表、ランサムウェアが世界的懸念に
CrowdStrike Adversary Calender 2021 年 1 月( Velvet Chollima )
2020年上場企業情報漏えい統計、原因最多はウイルス感染と不正アクセス
IDC予測、2024年までのセキュリティ製品サービス市場規模
企業 IT予算 増加基調維持、コロナ対応による予算増など要因
2021年の十大セキュリティトレンド、情報セキュリティ監査人がチェックするポイントとは
研修・セミナー・カンファレンス 記事一覧へ
SPFにまだできること ~ オランダ徴税税関管理局が採用するフィッシングメール対策
CrowdStrike ハンティングチームリーダーが教える、ハンターに必要な資質 ~ 1月末迄オンライン配信
NRIセキュア創立20周年記念し100名無料招待、SANS謹製ハッキングトーナメント開催
セキュリティインシデントの当事者になったその後
セキュリスト(SecuriST)認定脆弱性診断士のプレ開講、7名の受講者インタビュー公開
