架空の広告閲覧データ自動生成システムにより、オンライン広告マーケットで毎日500万ドル(約5億円)の売上

ロシアの広告詐欺グループは、偽装webサイト上で広告表示を行い、架空の広告閲覧データを自動生成するシステムを構築

新しい調査によると、精巧なサイバー犯罪組織は、オンライン広告における詐欺行為によって、オンライン広告マーケットから毎日300万〜500万ドル(3億円~5億円)相当の収入を得ていると想定されています。

専門家によると、詐欺には、偽装されたインターネットアドレス、レンタルされたデータセンター、偽のウェブサイト、およびショート広告をオンラインで見ている実際の人のように見せかけることができる偽ユーザーシステムの膨大なシステム&ネットワークを利用しています。

AdWeekによると、オンライン広告詐欺は年間70億ドルの規模だといいます。 この詐欺の多くは、悪意のあるソフトウェアに感染したハッキングされたコンピュータやサーバーを利用し、コンピュータを不正な詐欺行為に参加させます。

マルウェアベースの広告詐欺ネットワークは安価に入手して実行することができますが、マルウェア対策企業によって絶えず発見されクリーンアップされているため、悪名高いところでは不安定で信頼性がありません。

最近、研究者グループは、マルウェアに感染したホストではなく、専用のWebサーバーとコンピューターを巨大なレンタルネットワークに分散した、ゼロから設計された新しい仕組みの広告ロボットまたは「ボット」による広告詐欺を明らかにしました。

ニューヨーク市に拠点を置くデジタル広告セキュリティ会社のWhite Opsによれば、レンタルされたコンピュータは、さまざまなソースからリースまたはハイジャックされた57万以上のインターネットアドレスにより、ネットワークに接続されています。

White Opsはビデオ広告詐欺ネットワークを「Methbot」と名づけましたが、実際の視聴者にビデオベースの広告を表示する実際のパブリッシャー(webサイトの運営者)を模倣する完全自動化された不正ネットワークを維持しており、このネットワークの運用には月額20万ドル(約2000万円)以上を費やしています。

ホワイトオプスの主要セキュリティ研究者Ryan Castellucciは、Methbotのコーダーは、ネットワーク内のコンピュータをレンタルしたWebブラウザがビデオ広告を表示するWebサイトを模倣するために使用する不正なネットワークツールの多くをゼロから作り出したと語った。 実際のニュースWebサイトや他の人気の高いビデオの行き先を偽装することで、Methbotは広告ネットワークからビデオ広告を要求し、動画を「見る」という膨大なボットに広告を配信します。

各Webブラウジングセッションを人間が生成するセッションのように見せるために、Methbotはカーソルのクリックとマウスの動きをシミュレートし、さらにソーシャルネットワークのログイン情報を偽造して、広告を見たユーザーがその時点でソーシャルネットワークにログインしたように見える 。

「彼らはJavascriptで独自のブラウザを作成しており、広告ネットワークやこのような企業を検出しようとする企業にフィードバックされる情報を任意に制御することができます」とCastellucci氏は述べています。 「これにより、Methbotは業界がこれまでに見てきたことを超えて、新しい種類の広告詐欺に発展させることができました。

興味深いことに、これらのインターネットアドレスのほとんどすべての登録記録は偽造されているため、世界最大のインターネットサービスプロバイダ(ISP)によって管理されているようです。

たとえば、White Opsが言うMethbot – 196.62.126 * 117 – によって使用された多くのインターネットアドレスの1つは、2015年10月にAT&T Services Inc.に登録されていますが、連絡先アドレスは “adw0rd.yandex.ru@gmail.com” (文字「o」はゼロ)。 Adw0rdは、広告主がWeb広告ユーザーに簡単な広告コピーを表示するために支払うオンライン広告サービスであるGoogle Adwordsでのプレーであることは間違いない。

Methbot – 196.62.3 * 117に関連付けられた別のアドレスは、同じadw0rd.yandex.ru@gmail.comアカウントに登録されていますが、 “Comcast Cable Communications、Inc.”にも登録されています。別のMethbot IP – 161.8.252。* – アドレスは「Verizon Trademark Services LLC」の所有であると言います。

誰もが夢を見ていたのは、詐欺師の建設に多大な時間と費用を費やしたことです。 たとえば、White Opsによると、この広告詐欺行為だけで使用されるアドレススペースは、現在の市場価値が約400万ドルであると言われています。 Methbotが使用している570,000以上のインターネットアドレスの完全なリストはWhite Opsレポートページに掲載されています。

「Methbotの事業者は、これらの制限を解消し、無制限の規模を提供するインフラを構築するために、膨大な時間、研究、開発、およびリソースを投入しました。 「彼らは、プロキシネットワークをサポートするための専用のデータセンターを作成して、その動作の単一の起源源を隠すようにしました。 これは、居住用のインターネット接続を偽装するデータセンターを初めて見たときです。 これにより、この操作の規模は事実上無制限になり、感染したユーザーマシンの一定した基盤を維持するという典型的な耐久性の問題はありません。

White Opsは、提供可能な偽の動画広告のインプレッション数と、広告を表示するための広告主の平均費用を調べることで、Methbotの収益性を見積もったと述べています。 平均CPM(1ペイ・パー・ミルまたは1,000インプレッション数)が13ドルであると仮定すると、同社は毎日200万~220万ドルの範囲で200万〜300万インプレッションを提供できると見積もっています。

誰がMethbotを運営しているのか?

White Opsのレポートでは、この広告詐欺ネットワークの背後にある可能性のあるアクター(行為者)には徹底的な調査はしていませんが、調査結果にはいくつかの手がかりがあります。 White Opsは、もともとMethbotネットワークがシミュレートされたWebブラウザ環境で広告コードをテストするためにZombieというプログラムを使用したが、後でMethbotチームが独自のJavascriptベースのブラウザを構築したことを発見しました。 また、Methbotは「Cheerio」というプログラムを使用して、ビデオ広告で表示されるHTMLを解析するとしている。

ロシア語の技術フォーラムpyha [dot] ruの2015年10月のディスカッションスレッドに、ゾンビとチェリオの両方が登場します。 このスレッドは、Methbotが使用している偽のISPインターネットアドレス範囲にリストされているのと同じニックネーム「adw0rd」というニックネームを使用して開発者によって開始されました。 pyha [dot] ruのadw0rdのプロフィールは、ユーザーがロシアのサンクトペテルブルク出身で、彼のメールアドレスがadw0rd@pyha.ruであることを示しています。

adw0rd [ドット] comの「連絡先」ページ(同じく0)には同じ電子メールアドレスが含まれており、このアカウントはMikhail Andreevというソフトウェア開発者に属していると言われています。 adw0rd.comのこのページには、Facebook、Google、Twitter、LinkedIn、Github、Vkontakte(Facebookのロシア語版)のアカウント「adw0rd」もあります。 adw0rdの2008年のプログラミングプロジェクトを振り返ると、archive.orgで見つけることができます。 Andreevはコメントの要請に応じなかった。

White OpsがMethbotと結びついた多くのインターネットアドレス範囲に記載されている「悪用」連絡先電子メールアドレスは、少なくとも一度はインターネットアドレスのブローカーとして行動していたように見える「stepanenko.aa@mmk.ru」でした。同社の「stepanenko」電子メールアドレスは、ロシア第3位の鉄鋼会社であるMagnitogorst Iron&Steel Worksの通信インフラストラクチャ内のサポートグループIT管理システムのシニアマネージャAlexey A. Stepanenkoの正式な連絡先ページにも掲載されています。