ESET/マルウェア情報局
広告ブロックツールに潜むリスクとは
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「広告ブロックツールのセキュリティ的な問題点とは?」を再編集したものです。
広告ブロックツールとは
広告ブロックツールはアドブロッカーとも呼ばれ、インターネット閲覧時に表示される広告を非表示にするソフトウェアの総称だ。どのような仕組みかというと、ウェブブラウザーはユーザーの入力に従いサーバーにウェブサイトのデータをリクエストする。サーバーがリクエストに応答しソースコードを送り、ウェブブラウザーがそのソースコードを変換処理した上で画面に表示する。広告ブロックツールはこの処理の前に介入し、ソースコードから不要な広告を削除する。こうして、ユーザーのウェブブラウザーには広告が削除されたウェブサイトが表示される。
広告ブロックツールはパソコンだけでなく、AndroidやiOSといったモバイル端末のウェブブラウザーでも動作するように設計されている。ブロックする広告も、バナー広告やポップアップ広告だけでなく、動画広告やSNSのタイムライン広告などあらゆる広告をカバーする。さらに、広告を非表示にするだけでなく、URLを指定して特定のウェブサイトのみを非表示にすることも可能だ。また、インターネット上でユーザーのトラッキング(追跡)を行なう際に付与されるクッキーをブロックする機能をもつツールも存在する。
代表的な広告ブロックツールとして「Adblock Plus」、「uBlock Origin」などがあり、いずれも主要なウェブブラウザーに対応している。また、現在ではブロックフィルターの強さに差異はあるものの、ChromeやFirefox、Safariといった主だったウェブブラウザー自体にも広告表示を制限する機能がある。
なぜ広告ブロックツールが注目を集めているのか
ではなぜ今、広告ブロックツールが注目を集めているのだろうか。試しにインターネット上での検索数を可視化することができるGoogleトレンドで「広告ブロック」と検索してみると、2015年に特徴的なピークを形成し、そこからいったんは下降するものの、年々検索数は増加傾向であることがわかる。このトレンドを形成したひとつの要因が「マルバタイジング」だ。
図1:キーワード「広告ブロック」の検索動向(2011年~2019年11月末まで:Googleトレンド)
マルバタイジングとはマルウェアとアドバタイジングというふたつの言葉を合わせた造語のこと。自動配信される広告の仕組みを悪用し、ユーザーをマルウェアに感染させたり悪質なウェブサイトへ誘導したりする。マルバタイジングが横行した時代的背景には、スマホの普及によりユーザーの裾野が広がり、ITリテラシーが高くないユーザーもインターネットを利用しはじめたということがある。そのようなユーザーは攻撃者にとって格好のターゲットになったのだ。
広告ブロックツールが注目されるようになった要因は他にもある。最近では減少しつつあるものの、今でもユーザーの閲覧を妨げるような広告を表示するウェブサイトなどの存在だ。また、動画の閲覧前に強制的に表示される広告などに対してのフラストレーションもあるだろう。それらの広告が何度も表示されることで、通信料を懸念するユーザーも一定数いるのも事実だ。
こうした背景から、より快適なインターネット体験を実現する手段のひとつとして、広告ブロックツールがメディアなどでも取り上げられる機会が増加した。実用的な役立ち情報を提供するハック系ウェブサイトやブログなどで広告ブロックツールに関する記事を目にし、実際に導入に至ったユーザーも少なくないだろう。
一見、私たちの利便性を高めてくれそうな広告ブロックツールだが、別の側面からだと、また違う景色が見えてくる。次に、広告提供者側の側面から見ていく。
広告ブロックツールをめぐる動向
ユーザーにとって広告ブロックツールとは、快適なインターネット生活を提供してくれる便利なツールである。一方、広告を掲載したい広告主やアドネットワーク業者と、広告ブロックツールとの関係性はどうだろうか。現在、広告ブロックツールをめぐる動向は、さながらいたちごっこのようだ。インターネットメディアやプラットフォームをユーザーに無料で情報や機能を提供する代わりに、広告によってその収益を支えているものも多い。当然、広告をブロックされてしまうことは事業に対して大きな影響を与える。広告主やアドネットワーク側も静観しているわけにはいかない。
2016年8月9日、Facebookは広告ブロックツールへの対抗策を実行に移した。彼らは、ユーザーが広告を簡単に非表示にできるようインターフェースを変更する代わりに、たとえその端末に広告ブロックツールが常駐していたとしても、それを無視して広告を強制表示できるようにシステムを改変したと発表した。しかしそのわずか2日後、主要広告ブロックツールであるAdblock Plusを提供する独Eyeoは、Facebookの対抗策に対応する新しいフィルターを適用したと発表した。
また、2019年1月にはGoogleが広告ブロックツールの本格的な排除に乗り出したと、一部海外メディアが報道し話題となった。これはGoogleが提供するウェブブラウザー、Chromeの拡張機能に関係するAPIの仕様について、Googleが発表したその方針に起因する。Extensions Manifest v3と呼ばれるその定義では、多くの広告ブロックツールが従来のAPIによるブロッキング機能を利用できなくなってしまうという。Googleはこの措置を広告ブロックの阻止ではなく、ユーザーのプライバシーを保護するためだとしているが、一部の広告ブロックツールベンダーからは不評を買っている。
2019年7月にはChromeに標準で広告ブロックの機能が搭載された。しかし、この機能はAdblock Plusとは異なり、すべての広告をブロックするものではない。あくまでGoogleの基準に抵触した悪質な広告のみを非表示にする仕様となっている。2019年12月時点で、Adblock PlusではブロックされるGoogle AdSenseやYouTube上の動画広告は、この標準機能でブロックされることはないことを確認している。
配信される広告は、ユーザーにとっては鬱陶しい面もあることは否めない。しかし、広告が掲載されることで商品の認知拡大や購買促進に繋がっている。その結果として支払われる広告費用を原資に、無料で情報や機能を提供できているという事実も頭に入れておきたい。そして、こうしたユーザーが不満を抱える状況を悪用しようと企む者もいる。広告ブロックツールが抱える真の問題とはセキュリティリスクである、とみなせるだろう。次に、実際に起きた事象を交え解説する。
広告ブロックツールが抱えるセキュリティリスク
広告ブロックツールは「アドオン」と呼ばれるウェブブラウザーの拡張機能のひとつだが、この拡張機能そのものにセキュリティリスクがある。何も広告ブロックツールに限った話ではない。拡張機能は簡単にインストールやアンインストールができるため、利用しているユーザーも少なくないだろう。
通常、ウェブブラウザーに拡張機能を導入する際、ツールは端末の情報に対するアクセス権を要求する。その中には「ユーザーの位置情報」や「ブックマーク」、「閲覧したすべてのウェブサイト上のユーザーデータ」といったものまである。不用意にこれらの権限を許諾してしまうことで、個人情報の漏えいに繋がる危険性があるのだ。
たとえば、スクリーンショットの撮影を補助する拡張機能に、連絡先へのアクセスは必要だろうか。ウェブサイトの広告をブロックするのにユーザーの位置情報は必要だろうか。拡張機能が提供する機能を考慮し、必要以上に不要な権限を要求してくるツールは、悪質である可能性を疑うべきだろう。アクセス権を与えるということは、許諾した情報の提供を意味するのだということを強く意識してほしい。
広告ブロックツールにおいて実際に発生した事故事例をいくつか紹介する。
・2017年10月に報告された、偽の「Adblock Plus」配布
Adblock Plusは先にも述べたように著名な広告ブロックツールのひとつだ。考えられないことだが、この偽物がGoogleの公式ウェブストアで配布された。名前を「AdBlock Plus(Bが大文字になっている)」とし、アイコンも本家と同じものを使用したこの偽アプリは3万7000件以上もダウンロードされた。この広告ブロックツールがマルウェアだったかどうかは定かではないが、悪意のある拡張機能が含まれていたとも言われている。
・2018年4月に報告された、広告ブロックツールの隠しスクリプト
ある広告ブロックツールの開発会社が、そのレポートの中で悪質な隠しスクリプトを組み込んだ広告ブロックツールを5種類報告した。これらも公式ウェブストアで配布されており、被害者は2000万人以上におよぶとされる。報告された広告ブロックツールは、広告のブロックを装いながら、裏側ではユーザーのウェブ閲覧データを抜き取り、さらにはウェブブラウザーの遠隔操作までできる状態にあったという。
・2019年4月に発覚した、「Adblock Plus」のフィルターオプションの脆弱性
2019年4月15日にAdblock Plusのフィルターオプション機能に関する脆弱性が報告された。Adblock Plusなどの広告ブロックツールは、フィルターリストと呼ばれるリストを使いブロックする広告を選定するが、このリストには開発元ではなく、ユーザーが作成しコミュニティで共有されているものも存在する。この脆弱性がこうしたリスト管理者に悪用されると、フィルターリストに任意のコードを忍ばせることができるようになる。この脆弱性は4月20日にリリースされた新しいバージョンで修正された。
ウェブブラウザーの拡張機能の中には、見た目は広告ブロックツールのように動作しながら、実際には個人情報の窃取や悪質な広告表示を目的とする「アドウェア」であるものも少なくない。また、暗号資産(仮想通貨)が世の中で大きな注目を集め、価格が高騰した際には「マイニングマルウェア」と呼ばれるタイプのマルウェアが話題となった。これは、ユーザーの許可を得ることなく、スマホなどの端末のリソースを暗号資産の採掘(マイニング)に悪用するタイプのマルウェアだ。
広告ブロックツールとの正しい付き合い方
ここまで見てきたように、広告ブロックツールが安全かどうかということをユーザーが判断するのは難しい。それでも利用したい場合は、事前にセキュリティ対策ソフトをインストールして、有事の際に備えるといった対策は必須だろう。もちろん、セキュリティ対策ソフトを導入した場合でも、広告ブロックツールには必要以上のアクセス権限を与えないようにしたい。不必要なアクセス権を要求してくるツールは疑うべきだ。また、導入した後の広告ブロックツールの挙動にも注意が必要だ。もし、導入後に特定の広告ばかりが表示されるならば、それは悪質なサイトへ誘導しようとするアドウェアかもしれない。
広告ブロックツールを取り巻く環境は複雑だ。ステークホルダーは多く、またユーザーの利便性やプライバシー、セキュリティは互いに影響しあっている。もしかしたら今後、全く新しいツールやプラットフォームの登場によって、これまでの状況が一変するかもしれない。しかし、状況が大きく変わっても、セキュリティリスク自体がゼロになることはないだろう。正しいセキュリティ知識を身につけ、必要に応じてセキュリティツールなどの手助けを活用すること。結局、自分の身を守るには自らが主体的に考え、行動することでしかないのだ。