目次
はじめに
2025年6月、KrebsOnSecurityが報じた「Inside a Dark Adtech Empire Fed by Fake CAPTCHAs」は、広告ネットワークを悪用した巧妙な詐欺の実態を明らかにしました。この記事では、偽のCAPTCHA画面を使ってユーザーに「通知許可」や「クリック」を誘導し、マルウェアや詐欺サイトへ誘導するという手口が詳しく解説されています。
しかし、こうした「偽CAPTCHA」に限らず、アドテック業界には多数の悪用技術が存在します。本記事では、今回のケースと類似する手法を分類・整理して紹介します。
1. 偽CAPTCHA+通知許可誘導
✔ どんな手口か?
- CAPTCHA風の画面で「ロボットでないことを証明するには通知を許可してください」と表示
- ユーザーが通知を許可すると、後日ポップアップで詐欺通知や偽ウイルス警告が表示される
✔ なぜ危険か?
- 通知はブラウザのシステムレベルで表示され、偽物と気づきにくい
- 被害が継続的かつ非同期に発生する
2. マルバタイジング(Malvertising)
✔ どんな手口か?
- 正規の広告枠に悪意あるコードを紛れ込ませ、ユーザーをマルウェアに誘導
- 攻撃者はDSP(広告配信プラットフォーム)を経由し、広告審査をすり抜けて掲載
✔ 代表例
- Flashのゼロデイ脆弱性を突いたAngler Exploit Kit
- 広告を見ただけで感染する“ドライブバイダウンロード”
3. トラフィック・ディストリビューション・システム(TDS)
✔ どんな手口か?
- アクセス元のIP、ブラウザ、リファラーなどを分析し、悪意のあるユーザーには悪質サイトを、セキュリティ研究者や検索エンジンには無害なページを返す
- Cloaking(クローク)と併用されることが多い
✔ 使用例
- 記事で紹介された「VexTrio」や「LosPollos」はTDSを活用
4. アドフラウド(広告詐欺)
✔ どんな手口か?
- ボットや人力で広告を不正にクリックし、広告主の費用を盗む
- ドメインスプーフィングにより、広告枠が信頼できる媒体で表示されているように偽装
✔ 関連する詐欺タイプ
- インプレッション詐欺
- クリック詐欺
- SDKインジェクション(モバイルアプリ内で他の広告を盗用)
5. スケアウェア広告
✔ どんな手口か?
- 「あなたのPCはウイルスに感染しています」といった偽警告をポップアップで表示し、偽のウイルス対策ソフトを購入させる
- 通知機能を悪用して持続的に表示される
✔ なぜ防げない?
- ブラウザ通知やOSのUIを模倣して表示するため、ユーザーは本物と誤認しやすい
6. ブラウザ通知の悪用
✔ どんな手口か?
- アクセス初回に「通知を許可してください」と表示(偽CAPTCHAなどを通じて)
- 許可後、外部から詐欺メッセージを継続配信(通知ポップアップで表示)
7. 被害が発生する経路の可視化
[通常サイト] → [乗っ取りWordPressサイト] → [TDS] → [偽CAPTCHA or 偽ニュース] → [通知許可] → [ブラウザ通知で詐欺表示]このように、一見正規に見えるサイトやキャプチャが、攻撃の入り口になっている点が恐ろしいところです。
8. 対策と啓発
| 利用者側の対策 | サイト運営者の対策 |
|---|---|
| 通知許可を不用意に出さない広告ブロッカーを使う | WordPressなどCMSの更新を徹底アフィリンクのチェック |
| セキュリティソフトやDNSフィルターの導入 | 広告配信ネットワークの審査強化 |
| ブラウザの「通知」設定を見直す | 正規のTDSや配信スクリプト以外は使わない |
おわりに
偽のCAPTCHAや通知誘導は、ユーザーの「当たり前の行動」を逆手に取る非常に巧妙な手口です。しかも、広告の仕組みを利用するため、攻撃者は非常に広範囲なユーザーにアプローチ可能です。
便利で無料なサービスがあふれる一方で、こうした「裏側のビジネス」や「トラフィックの悪用」が広がっていることも、ぜひ知っておいてください。
📚 参考文献
- Inside a Dark Adtech Empire Fed by Fake CAPTCHAs
https://krebsonsecurity.com/2025/06/inside-a-dark-adtech-empire-fed-by-fake-captchas/ - What is Malvertising? – NortonLifeLock
https://us.norton.com/blog/malware/what-is-malvertising - Traffic Distribution Systems Explained – Kaspersky Threat Intelligence
https://www.kaspersky.com/resource-center/threats/traffic-distribution-systems - Ad Fraud Tactics and Techniques – White Ops (now HUMAN)
https://www.humansecurity.com/blog/understanding-ad-fraud - Scareware and Fake Virus Alerts – Malwarebytes Labs
https://www.malwarebytes.com/scareware - Browser Notification Abuse by Fake Sites – BleepingComputer
https://www.bleepingcomputer.com/news/security/scammers-abuse-browser-push-notifications-to-serve-scareware-ads/ - GoDaddy Security Report on WordPress Redirects (2024)
https://www.godaddy.com/security/wordpress-site-hacks-and-redirects-2024
