Malvertisingとは？ わかりやすく解説

デジタル大辞泉

マルバタイジング【malvertising】

読み方：まるばたいじんぐ

《malicious advertisingから》インターネット広告を通じて、マルウエアを拡散したり、悪質なウェブサイトへの転送を促したりすること。また、その仕掛けが組み込まれたインターネット広告。悪意ある広告。悪質な広告。

IT用語辞典バイナリ

マルバタイジング

別名：悪意ある広告，悪質な広告
【英】malvertising, malicious advertising

マルバタイジングとは、オンライン広告を通じて行われるマルウェア拡散や悪質サイトへのリダイレクトといった悪意ある行為のこと、および、そうした悪意ある仕掛けが組み込まれているオンライン広告のことである。

マルバタイジングの典型的な手法は、広告のJavaScriptに悪意あるコードを巧妙に組み込み、ネットワーク広告として配信する、というものである。アドネットワークに参加し広告を掲載しているWebサイトにも、アドネットワークのシステムにも、直接の攻撃や改竄は行われない。それでいて、正常なドメインの複数のWebサイトにマルウェアを仕掛けることができ、効率的な拡散を見込むことができる。また、当該の広告をクリックしなくても（広告が掲載されたWebページにアクセスするだけで）マルウェアに感染してしまうこともマルバタイジングの特徴であるとされる。

---

参照リンク
マルバタイジング（悪質な広告）と動的 DNS: 果てしなき闘い - （Symantec）

ウィキペディア

マルバタイジング

(Malvertising から転送)

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2026/03/17 02:51 UTC 版)

コンピューターが感染していると主張する、悪意のある広告の例

マルバタイジング（Malvertising、malicious software advertisingの略）は、オンライン広告を使用してマルウェアを拡散させることである。^[1] 通常、悪意のある、またはマルウェアが仕込まれた広告を、正規のオンライン広告ネットワークやウェブページにインジェクトすることを含む^[2] 。広告コンテンツは知名度が高く信頼されているウェブサイトにも挿入されうるため、マルバタイジングは、ファイアウォールや厳重な安全予防策などによって通常なら広告を目にしない可能性のあるウェブユーザーに対しても、攻撃を仕掛ける機会を加害者に与えるものである^[3][4] 。マルバタイジングは、「多数の正規ウェブサイトを直接侵害することなく、それらのサイトを通じて容易に拡散できる」ため、攻撃者にとって魅力的であると評されてきた^[5]。

マルバタイジングは、ウェブページやウェブページ広告に静かに侵入し、知らず知らずのうちに拡散するため、対策が非常に困難な場合がある。「マルバタイジングを通じて配信される感染の興味深い点は、システムを侵害するために（クリックなどの）ユーザーの操作を一切必要とせず、ウェブサイトやそれがホストされているサーバー上の脆弱性を悪用するものでもない...（中略）...マルバタイジングを通じて配信される感染は、ウェブページの広告を通じて静かに移動する」からである。^[6] マルバタイジングは何百万人ものユーザーをマルウェアに晒すことが可能であり、急速に増加している。2012年には、推定100億近くの広告インプレッションがマルバタイジングによって侵害された^[2] 。攻撃者のリーチは非常に広く、広告ネットワークを通じてこれらの攻撃を容易に配信できる。企業やウェブサイトはマルバタイジング攻撃の数を減らすのに苦労しており、この事実は「この攻撃ベクトルがすぐになくなる可能性は低いことを示唆している」^[5]。

概要

ウェブサイトやウェブパブリッシャーが、破損した、あるいは悪意のある広告をページに組み込むと、訪問者のコンピューターはクリック前（pre-click）およびクリック後（post-click）に感染する可能性がある。感染は訪問者がマルバタイジングをクリックし始めたときにのみ発生するというのは誤りである。

クリック前マルウェアの例としては、ページのメインスクリプトへの埋め込みやドライブバイダウンロードなどがある。マルウェアは自動実行（auto-run）されることもあり、自動リダイレクト（auto redirects）のケースでは、ユーザーは（クリックなどの操作なしに）自動的に別のサイトに飛ばされる。そのサイトが悪意のあるものである可能性がある。

マルウェアは広告の配信過程で見つかることもある。つまり、（構築や設計において）クリック前にもクリック後にもマルウェアを含まないクリーンな広告であっても、呼び出される際に感染する可能性がある^[7] 。悪意のあるコードは検出されずに潜むことができ、ユーザーは自分に何が迫っているのかを知る由もない。クリック後のマルバタイジングの例としては、「ユーザーが広告をクリックして広告対象のサイトを訪問しようとすると、代わりに直接感染するか、悪意のあるサイトにリダイレクトされる。これらのサイトは、通常はウェブ上で非常に一般的なFlashファイルに偽装したウイルスやスパイウェアをユーザーにコピーさせようと騙す」といったものがある^[8] 。リダイレクションはオンライン広告に組み込まれていることが多く、ユーザーは広告をクリックするとリダイレクトが発生することを期待しているため、この種のマルウェア拡散は成功しやすい。発生するリダイレクションを乗っ取るだけで、ユーザーのコンピューターを感染させることができるのである^[1]。

マルバタイジングは、デジタル広告チェーンのあらゆる部分に異なる影響を与える。プラットフォームからパブリッシャー、そしてマルバタイジング攻撃の被害者となった可能性のあるエンドユーザーに至るまで、誰もが影響を受ける^[9] 。マルバタイジングは、信頼できる企業を悪用することが多い。マルウェアを拡散させようとする者は、まず信頼できるサイトに「クリーンな」広告を掲載して良い評判を得た後、「広告の背後にあるコードにウイルスやスパイウェアを挿入し、大規模なウイルス感染が発生した後、ウイルスを除去する」。これにより、その期間中にサイトを訪れたすべての訪問者を感染させる。「広告ネットワークのインフラは非常に複雑で、広告とクリックスルー先との間に多くのリンク接続がある」ため、責任者の身元を追跡することは困難な場合が多く、攻撃を未然に防いだり、完全に停止させたりすることを難しくしている^[8]。

マルバタイジングの中には、ユーザーが（正常に見える）広告を決してクリックしなくても、脆弱なコンピューターを感染させることができるものがある^[10]。

歴史

マルバタイジングが最初に記録されたのは2007年後半から2008年初頭にかけてである。この脅威はAdobe Flashの脆弱性（2010年代後半まで続いた問題^[11]）に基づくもので、MySpace、Excite、Rhapsodyなど多くのプラットフォームに影響を与えた。2009年、『ニューヨーク・タイムズ・マガジン』のオンライン版が、より大規模なクリック詐欺（Bahamaボットネットと呼ばれるマルウェア感染コンピューターのボットネットネットワークを構築し、ウェブ上のペイ・パー・クリック広告に対するクリック詐欺を実行するために使用された）の一部である広告を配信していたことが判明した。『ニューヨーク・タイムズ』のバナーフィードが9月11日から14日の週末にかけてハッキングされ、一部の読者にはシステムが感染していると告げ、不正なセキュリティソフトをコンピューターにインストールさせようと騙す広告が表示された。広報担当のダイアン・マクナルティによると、「犯人は全国的な広告主として同紙に接触し、1週間にわたり一見正当な広告を提供していた」が、その後、広告はウイルス警告のマルバタイジングに切り替えられた。『ニューヨーク・タイムズ』はその後、この問題に対処するためにサードパーティの広告を停止し、この問題に関する読者へのアドバイスを技術ブログに掲載さえした^[12]。

2010年、マルバタイジングは本格的に広まった。マーケティングアナリストのClickZ^[13]は、Online Trust Alliance（OTA）が3500のサイトにわたり、マルウェアを運ぶ数十億のディスプレイ広告を特定したと指摘した。同年、Online Trust Alliance^[14]は、業界横断的なマルバタイジング対策タスクフォースを結成した。

2011年、SpotifyがBlackhole exploit kitを使用したマルバタイジング攻撃を受けた。これは、ユーザーが広告をクリックしなくてもマルウェアに感染するドライブバイダウンロードの最初の事例の1つであった。

2012年、シマンテックは「インターネットセキュリティ脅威レポート2013」にマルバタイジングのセクションを追加した。^[15] シマンテックは一連のウェブサイトでスキャンソフトウェアを使用し、その半数がマルバタイジングに感染していることを検出した。

2012年、『ロサンゼルス・タイムズ』がBlackhole exploit kitを使用してユーザーに感染させる大規模なマルバタイジング攻撃を受けた。これは大手ニュースポータルを標的とするマルバタイジングの全般的なキャンペーンの一部と見なされ、この戦略はその後もhuffingtonpost.comや『ニューヨーク・タイムズ』への攻撃へと続いた。

2013年、マルバタイジングの脅威はなおも続き、月間69億のアクセスがある最大の広告プラットフォームの1つであるYahoo!に対して、大規模なマルバタイジングキャンペーンが仕掛けられた。このマルウェアエクスプロイトは、一般的に使用されるウェブ攻撃であるクロスサイトスクリプティング（XSS）に基づいていた。これは、Open Web Application Security Project^[16]（OWASP）が特定したウェブ攻撃タイプトップ10の第3位である。この攻撃は、ユーザーのコンピューターをランサムウェア「Cryptowall」に感染させた。これは、ユーザーのデータを暗号化し、データを復号するために7日以内に最大1000ドル相当のビットコインの身代金を支払うよう要求して金銭を脅し取るマルウェアの一種である。

2014年には、DoubleClickおよびZedoの広告ネットワークで大規模なマルバタイジングキャンペーンが発生した。『タイムズ・オブ・イスラエル』や『ヒンドゥスタン・タイムズ』を含む様々なニュースポータルが影響を受けた。以前の攻撃と同様、このサイバー犯罪にはマルウェア感染としてCryptowallが関与していた。この一連のマルバタイジングにより、60万台以上のコンピューターが感染し、100万ドル以上の身代金がもたらされたと考えられている。^[17]

マカフィーの2015年2月の脅威レポートによると、マルバタイジングは2014年後半から2015年初頭にかけて、モバイルプラットフォームで急速に増加し始めていた。^[18] 2015年には、eBay、Answers.com、talktalk.co.uk、wowhead.comなどでマルバタイジングキャンペーンが発生した。このキャンペーンには、DoubleClickやengage:BDRなどの広告ネットワークの侵害が含まれていた。また、親ロシア派の活動家による、おそらく史上初の「政治的マルバタイジング」キャンペーンの報告もあった。これはボットネットに基づくもので、ユーザーのコンピューターを偽のサイトに強制的に訪問させ、活動家のための広告収入を生み出していた。ユーザーはまた、いくつかの親ロシア的なプロパガンダビデオに行き着くことにもなった^[19]。

2021年、ランサムウェア集団REvilが、Google検索結果の有料掲載枠（paid positioning）を利用して、被害者に悪意のあるファイルを配信しているのが観察された^[20] 。YouTuberのMrBeastやイーロン・マスクなどの人気人物になりすました攻撃者による、現金や暗号資産のプレゼントキャンペーンと称するマルバタイジングが、多くの広告プラットフォームやソーシャルメディアサイトで見られている^[21][22] 。

2022年には、Google検索上のネイティブ広告が、様々なソフトウェア（多くの場合オープンソースソフトウェア）のダウンロードページになりすまし、ユーザーをランサムウェアや情報窃取型マルウェア（info stealer）のダウンロードに誘導したり、テクニカルサポート詐欺にリダイレクトしたりする事例が報告された^[23][24][25]。

悪意のある広告の例

Horoscope.com、『ニューヨーク・タイムズ』^[26]、ロンドン証券取引所、Spotify、『ジ・オニオン』など、いくつかの人気ウェブサイトやニュースソースがマルバタイジングの被害に遭い、気付かないうちに悪意のある広告をウェブページやウィジェットに掲載させられている^[5]。

種類と手口

マルバタイジングの影響を受けているウェブサイトを訪問することにより、ユーザーは感染のリスクに晒される。悪意のある広告やプログラムをウェブページに注入するために使用される手口は様々である。

• ポップアップ広告：コンピューターにマルウェアをインストールする偽のウイルス対策プログラムなど、欺瞞的なダウンロードを促すポップアップ広告^[2]。
• ハイパーリンクの改ざん：インテキスト広告やインコンテンツ広告では、コンテンツに関連する悪意のあるハイパーリンクを含むようにテキストが改変されることがある^[27]   。
• ドライブバイダウンロード^[2]：ユーザーがウェブサイトを訪問した際に、ユーザーの同意なしに悪意のあるファイルがダウンロードされる活動^[28]
• Webウィジェット：リダイレクションが乗っ取られ、悪意のあるサイトにリダイレクトさせられることがある^[29]
• 隠しiframe：マルウェアを拡散させる隠しiframe^[29]。
• CDN：マルウェアを共有するために悪用されるコンテンツデリバリネットワーク^[29]
• バナー：ウェブサイト上の悪意のあるバナー^[29]
• サードパーティ広告：ウェブページ上のサードパーティ広告^[30]
• サードパーティ製アプリケーション：フォーラム、ヘルプデスク、顧客関係管理（CRM）、コンテンツ管理システム（CMS）などのサードパーティ製アプリケーション^[30]
• モバイル広告：SMSプロモーションを通じたモバイル広告^[31]

予防策

これらの広告に騙される可能性を減らすために、人々が講じることができる予防策がいくつかある。Adobe Flash PlayerやAdobe Readerなど一般的に使用されるプログラムは、その欠陥が悪用されて攻撃に対して脆弱になる可能性があり、またそうなってきたため、もはや使用すべきではない。ユーザーはまた、脅威から保護し、システムからマルウェアを除去するウイルス対策ソフトウェアをダウンロードすることもできる。ユーザーはまた、企業やウェブサイトに対し、広告をウェブページで有効にする前にスキャンするよう働きかけることもできる。^[2] ユーザーはまた、広告ブロックソフトウェアを使用して広告に含まれるマルウェアのダウンロードを回避したり^[32]、マルバタイジングキャンペーンを警告する特定のブラウザ拡張機能を使用したりすることもできる^[33]。

関連項目

• クリックジャッキング
• ソーシャル・エンジニアリング
• サプライチェーン攻撃
• テクニカルサポート詐欺
• 水飲み場型攻撃

出典

1. ^ ^{a b} Salusky, William (2007年12月6日). “Malvertising”. SANS ISC. 2025年11月7日閲覧。
2. ^ ^{a b c d e} “Anti-Malvertising”. Online Trust Alliance. 2013年12月15日時点のオリジナルよりアーカイブ。2025年11月7日閲覧。
3. ^ Johnson, Bobbie (2009年9月25日). “Internet companies face up to 'malvertising' threat”. The Guardian. https://www.theguardian.com/technology/2009/sep/25/malvertising 2025年11月7日閲覧。 
4. ^ “The rise of malvertising and its threat to brands”. Deloitte (2009年). 2011年7月22日時点のオリジナルよりアーカイブ。2025年11月7日閲覧。
5. ^ ^{a b c} Zeltser, Lenny (2011年6月6日). “Malvertising: Some Examples of Malicious Ad Campaigns”. 2025年11月7日閲覧。
6. ^ “Five-month malvertising campaign serves up silent infections”. Infosecurity. Reed Exhibitions Ltd. (2013年2月12日). 2025年11月7日閲覧。
7. ^ Vuijsje, Eliana (2015年8月31日). “What is Malvertising (Malware) Detection in Online Advertising, Part I”. 2021年4月16日時点のオリジナルよりアーカイブ。2025年11月7日閲覧。
8. ^ ^{a b} “A rising security threat: Malvertising”. Bullguard. 2025年11月7日閲覧。
9. ^ clean.io, Sent with 💙 by. “Malvertising Resource Center | cleanAD”. www.clean.io. 2025年11月7日閲覧。
10. ^ Siciliano, Robert (2014年4月8日). “Business Identity Theft; Big Brand, Big Problems”. Huffington Post. https://www.huffpost.com/entry/business-identity-theft-b_b_5643934 2025年11月7日閲覧。 
11. ^ Yurieff, Kaya (2017年7月25日). “So long, Flash: Adobe will kill plug-in by 2020”. CNNMoney. 2025年11月7日閲覧。
12. ^ Picchi, Aimee (2009年9月14日). “Malvertising hits The New York Times”. The Daily Finance. オリジナルの2016年4月21日時点におけるアーカイブ。. https://web.archive.org/web/20160421013533/http://www.dailyfinance.com/2009/09/14/malvertising-hits-the-new-york-times/ 2025年11月7日閲覧。 
13. ^ Kaye, Kate (2011年2月10日). “Billions of Web Ads Carried Malware in 2010”. 2025年11月7日閲覧。
14. ^ “Online Trust Alliance Forms Cross-Industry Anti-Malvertising Task Force”. Reuters (2010年9月8日). 2016年3月27日時点のオリジナルよりアーカイブ。2025年11月7日閲覧。
15. ^ “Symantec Internet Security Threat Report 2013” (2013年4月). 2014年6月5日時点のオリジナルよりアーカイブ。2025年11月7日閲覧。
16. ^ “Category:OWASP Top Ten Project”. 2025年11月7日閲覧。
17. ^ Constantin, Lucian (2014年8月29日). “CryptoWall ransomware held over 600K computers hostage, encrypted 5 billion files”. 2025年11月7日閲覧。
18. ^ “McAfee Labs Threats Report February 2015”. 2016年3月4日時点のオリジナルよりアーカイブ。2025年11月7日閲覧。
19. ^ Connell, Michael; Vogler, Sarah (1 February 2017). Russia's Approach to Cyber Warfare (1Rev) (Report) (英語). 2021年4月20日時点のオリジナルよりアーカイブ.
20. ^ “Ransomware gangs use SEO poisoning to infect visitors” (英語). BleepingComputer. 2025年11月7日閲覧。
21. ^ “Mr Beast $1000 giveaway: website scam & pop-up removal” (英語). MySpyBot (2021年7月6日). 2025年11月7日閲覧。
22. ^ “How to Avoid Cryptocurrency Scams” (英語). PCMAG. 2025年11月7日閲覧。
23. ^ “Malvertising on Google Ads is a growing problem that isn't going away”. techmonitor. Claudia Glover (2023年1月18日). 2025年11月7日閲覧。
24. ^ “Hackers push malware via Google search ads for VLC, 7-Zip, CCleaner”. bleepingcomputer. 2025年11月7日閲覧。
25. ^ “Google ads lead to major malvertising campaign”. Malwarebytes (2022年7月19日). 2025年11月7日閲覧。
26. ^ Johnson, Bobbie (2009年9月25日). “Internet companies face up to 'malvertising' threat”. The Guardian. https://www.theguardian.com/technology/2009/sep/25/malvertising 2025年11月7日閲覧。 
27. ^ Jyotiyana, Priya; Maheshwari, Saurabh (2016). “A Literature Survey on Malware and Online Advertisement Hidden Hazards”. In Corchado Rodriguez, Juan Manuel; Mitra, Sushmita; Thampi, Sabu M. et al. (英語). Intelligent Systems Technologies and Applications 2016. Advances in Intelligent Systems and Computing. 530. Cham: Springer International Publishing. pp. 449–460. doi:10.1007/978-3-319-47952-1_35. ISBN 978-3-319-47952-1. https://link.springer.com/chapter/10.1007/978-3-319-47952-1_35 
28. ^ Jyotiyana, Priya; Maheshwari, Saurabh (2016). “A Literature Survey on Malware and Online Advertisement Hidden Hazards”. In Corchado Rodriguez, Juan Manuel; Mitra, Sushmita; Thampi, Sabu M. et al. (英語). Intelligent Systems Technologies and Applications 2016. Advances in Intelligent Systems and Computing. 530. Cham: Springer International Publishing. pp. 449–460. doi:10.1007/978-3-319-47952-1_35. ISBN 978-3-319-47952-1. https://link.springer.com/chapter/10.1007/978-3-319-47952-1_35 
29. ^ ^{a b c d} Sood, Aditya; Enbody, Richard (April 2011). “Malvertising - exploiting web advertising”. Computer Fraud and Security: 11–16. ISSN 1361-3723. https://www.cse.msu.edu/~enbody/CFS_2011-04_Apr.pdf 2025年11月7日閲覧。. 
30. ^ ^{a b} Finley, Klint (2010年7月26日). “Report: The 3 Biggest Enterprise Website Malware Vulnerabilities”. ReadWrite Enterprise. 2025年11月7日閲覧。
31. ^ Jyotiyana, Priya; Maheshwari, Saurabh (2016). “A Literature Survey on Malware and Online Advertisement Hidden Hazards”. In Corchado Rodriguez, Juan Manuel; Mitra, Sushmita; Thampi, Sabu M. et al. (英語). Intelligent Systems Technologies and Applications 2016. Advances in Intelligent Systems and Computing. 530. Cham: Springer International Publishing. pp. 449–460. doi:10.1007/978-3-319-47952-1_35. ISBN 978-3-319-47952-1. https://link.springer.com/chapter/10.1007/978-3-319-47952-1_35 
32. ^ Nichols, Shaun (2015年8月14日). “You've been Drudged! Malware-squirting ads appear on websites with 100+ million visitors”. The Register. https://www.theregister.co.uk/2015/08/14/malvertising_expands_drudge/ 2025年11月7日閲覧。 
33. ^ George, Thomas (2015年10月9日). “Malvertising up 325% – Are the AdBlockers Working?”. Check&Secure. オリジナルの2016年1月30日時点におけるアーカイブ。. https://web.archive.org/web/20160130161632/http://blog.check-and-secure.com/091015-malvertising-up-325-are-adblockers-working/ 2025年11月7日閲覧。 

外部リンク

• What You Need To Know About Malvertising