8月に、SolveMediaのCAPTCHAを利用しようとするとページに表示されている広告が特定の広告に差し替わる現象が起きていると書いた。現在も一部サイトのSolveMediaでAmazonの広告に差し替わる現象が起きている。
広告強制差し替えはいろんな意味(セキュリティ的な意味も含む)でアカンのでやめて欲しいのだが…
SolveMediaのCAPTCHAでページに表示されている広告が特定の広告に差し替わる謎現象が発生 - 以下省略!
この記事で、差し替えはアカンという事も書いたが、ついに懸念されていたことが起きてしまった。そう、悪意のあるサイト(マルウェア配布サイト)への強制リダイレクトだ。
SolveMediaのCAPTCHAのパターンの1つに「PLAYボタンを押してCAPTCHAを表示」があるが、そのボタン(PLAY)を押すとブラウザのアップデートを促す、画像のようなのページに飛ぶ場合がある。このページはブラウザによって表示が若干変わるが、ダウンロードボタンを押すとブラウザにかかわらず同じupdate.exeがダウンロードされる。
で、このファイルの分析結果がこちら:VirusTotal,Malwr
NSISでパッケージングされていて、実行するとファイルが展開されて中に入っているソフトウェアが自動起動されるように設定される模様。
配布されているupdate.exeをPeaZipで展開し、中に入っていたファイルを分析したところKomodia Redirector SDKという、HTTPSでの通信内容を傍受できてしまうもの*1が含まれている可能性があると表示された。
参考:N1LSP.exeの分析結果、N1Service.exeの分析結果、JVNVU#92865923: Komodia Redirector がルート CA 証明書と秘密鍵をインストールする問題
もしかするとこれはSuperfishの一種で、フィッシング詐欺やID/PWを盗み取る事などに使われる恐れがあるマルウェアですね…(細かくは調べてないけど)
念の為PCがSuperfishなどの類の影響を受けているかどうかの診断サイトのリンク貼っておきますね: Superfish, Komodia, PrivDog vulnerability test
SolveMedia(SolveMediaに広告を配信している業者も含む?)はこういったサイトにリダイレクトされる物が配信されていることを自覚し早急に対処して欲しいものである。というか広告差し替え(ハイジャック)とかやめれ。
※2015/11/01 19:20追記
今日のfaucet巡回ではマルウェアサイトへの強制リダイレクト、及び広告ハイジャックは確認できなかった。やはりマズイから引っ込めた?