巧妙化するマルウェアの配布経路 ～広告ネットワークや正規サイトの悪用（マルバタイジング）を防ぐ～

インターネット上のマルウェア感染は、もはや「怪しいサイトを閲覧したから起きるもの」ではありません。近年、企業・個人を問わず被害が拡大しているのが、正規の広告ネットワークや信頼されているWebサイトを経由してマルウェアを配布する攻撃手法、いわゆる「マルバタイジング（Malvertising）」です。

マルバタイジングは、利用者が特別な操作をしなくても、Webページを閲覧しただけで被害に遭う可能性がある点が特徴です。従業員が業務中に閲覧するニュースサイト、業界メディア、さらには大手ポータルサイトであっても、攻撃の踏み台として悪用されるケースが確認されています。

本記事では、マルバタイジングの仕組みを整理した上で、ブラウザおよびネットワークレベルでの具体的な防御策、そして企業として整備すべき従業員のWeb利用ポリシーについて詳しく解説します。

マルバタイジングとは何か

マルバタイジングとは、オンライン広告の配信仕組みを悪用し、マルウェアや不正サイトへ利用者を誘導する攻撃手法を指します。広告自体に悪意あるコードを仕込む、あるいは広告のリンク先を不正なURLへと切り替えることで、閲覧者に気付かれないまま感染を引き起こします。

従来のマルウェア配布は、不審な添付ファイルや偽のダウンロードサイトを利用するケースが一般的でした。しかし、マルバタイジングは「正規の広告」という信頼性を悪用するため、ユーザーの警戒心を回避しやすく、セキュリティ対策が不十分な環境では被害が拡大しやすいのが特徴です。

マルバタイジングの仕組み

広告ネットワークの構造的な弱点

多くのWebサイトは、複数の広告ネットワークを通じて広告を表示しています。広告の配信元や表示内容はリアルタイムで切り替わるため、サイト運営者自身がすべての広告内容を完全に把握・検証することは困難です。

攻撃者はこの点を突き、以下のような手法でマルバタイジングを成立させます。

●正規の広告主を装って広告枠を購入する
●広告配信後にリンク先を不正サイトへ切り替える
●JavaScriptやリダイレクト処理を用いて、特定条件下のみで悪意ある挙動を発生させる

これにより、セキュリティチェックをすり抜けた広告が、信頼性の高いWebサイト上に表示されてしまいます。

正規サイト経由の感染が増える理由

マルバタイジングの厄介な点は、被害者が「正規サイトしか見ていない」と認識している点にあります。従業員の行動ログを確認しても、不審なURLや違法サイトへのアクセス履歴が見当たらないため、初動対応が遅れるケースも少なくありません。

さらに、以下のような技術が組み合わされることで、検知や分析が難しくなっています。

●特定の国やIPアドレスのみを標的にする条件分岐
●仮想環境やセキュリティ製品を検知すると無害な動作に切り替える仕組み
●短期間で広告内容やリダイレクト先を変更する運用

結果として、企業ネットワーク内で気付かないうちにマルウェアが侵入し、情報窃取やランサムウェア感染の足掛かりとなるリスクが高まっています。

ブラウザレベルでの防御策

ブラウザとプラグインの最新化

マルバタイジングによる感染では、ブラウザやプラグインの脆弱性が悪用されるケースが多く見られます。特に、古いバージョンのブラウザ、Java、PDF閲覧ソフトなどは攻撃対象になりやすいため、常に最新状態を維持することが基本対策となります。

企業環境では、以下の点を徹底することが重要です。

●ブラウザの自動アップデートを有効化する

●利用頻度の低いプラグインは削除する

●管理外ソフトウェアのインストールを制限する

スクリプト制御と広告ブロック

マルバタイジングは、JavaScriptやiframeを用いた不正なリダイレクトによって成立するケースが多くあります。そのため、ブラウザ上でのスクリプト制御は有効な防御策となります。
企業ポリシーとして、以下のような対策を検討するとよいでしょう。

●信頼できないスクリプトの実行を制限する設定
●業務に不要な広告表示を抑制するブラウザ拡張の利用

●クリックを伴わない自動リダイレクトの抑止

ただし、広告ブロックについては、業務上必要なWebサービスへの影響も考慮し、適切なルール設計が求められます。

ネットワークレベルでの防御策

DNSフィルタリングの活用

マルバタイジングでは、最終的に不正なドメインへ通信が発生します。DNSフィルタリングを導入することで、既知の悪性ドメインへの名前解決をブロックし、感染を未然に防ぐことが可能です。

DNSレベルでの対策は、端末側の設定に依存しにくく、管理負荷が低いというメリットがあります。特に、リモートワーク環境を含めた全社的な対策として有効です。

プロキシ・SWGによる通信制御

セキュアWebゲートウェイ（SWG）やプロキシを利用することで、Web通信の可視化と制御が可能になります。以下のような機能は、マルバタイジング対策として効果的です。

●カテゴリベースでのWebアクセス制御

●不審なリダイレクト挙動の検知

●ファイルダウンロード時のマルウェア検査

通信ログを一元管理することで、インシデント発生時の原因分析や影響範囲の特定も容易になります。

従業員のWeb利用に関するポリシー整備

技術対策だけでは防げない理由

マルバタイジング対策では、セキュリティ製品の導入だけでなく、従業員のWeb利用ルールを明確にすることが不可欠です。業務と私用の境界が曖昧な環境では、リスクの高いサイト閲覧や不要な広告クリックが発生しやすくなります。

ポリシー策定時のポイント

企業として定めるWeb利用ポリシーには、以下の要素を含めることが望まれます。

●業務時間中の私的Web閲覧に関するルール
●不審な広告や警告画面を見た際の報告手順
●ソフトウェアや拡張機能の無断インストール禁止

特に「広告をクリックしない」ではなく、「不審な挙動を感じたらすぐ報告する」という行動指針を明確にすることが重要です。

定期的な教育と注意喚起

マルバタイジングは手口が頻繁に変化するため、一度の教育で十分とは言えません。定期的な注意喚起や事例共有を行うことで、従業員のリスク感度を維持することができます。

具体的には、以下のような取り組みが有効です。

●実際に発生したインシデントの共有
●広告経由で感染する仕組みの解説
●「正規サイトでも安全とは限らない」という意識付け

まとめ：マルバタイジング対策は多層防御が鍵

マルバタイジングは、広告ネットワークや正規サイトへの信頼を逆手に取る、非常に巧妙なマルウェア配布手法です。利用者の注意だけに依存した対策では限界があり、ブラウザ、ネットワーク、組織ルールを組み合わせた多層防御が不可欠となります。

企業に求められるのは、「怪しいサイトを見なければ安全」という従来の発想から脱却し、どのような経路であってもマルウェアは侵入し得るという前提に立ったセキュリティ設計です。

ダークウェブ監視による早期発見の重要性

マルバタイジングを起点とするマルウェア感染は、最終的に情報窃取や認証情報の流出へと発展するケースが少なくありません。特に、感染後すぐには被害が顕在化せず、数週間から数か月後にダークウェブ上で社内アカウント情報や機密データが売買されて初めて発覚する事例も多く確認されています。

このような事後被害を最小限に抑えるためには、侵入を防ぐ対策に加え、「すでに流出していないか」を継続的に把握する視点が欠かせません。ダークウェブ監視サービスを活用することで、自社ドメインのメールアドレス、認証情報、内部資料などが地下マーケットやフォーラムに出回っていないかを早期に検知することが可能になります。

万が一、流出の兆候を早期に把握できれば、パスワード変更やアクセス制御、関係部門への迅速な通知といった初動対応を速やかに行うことができ、被害の拡大を防ぐことにつながります。