アドウェア.

アドウェアは、ポップアップ・バナー・検索結果の乗っ取り・リダイレクトなどの形で広告を利用者の体験に注入し、通常は運営者に収益をもたらすことを目的とします。無料ユーティリティ、ブラウザ拡張機能、海賊版ソフトと同梱されることが多く、閲覧習慣を報告するトラッキングコンポーネントを含むこともよくあります。厳密な意味で常に悪質とは言えないものの、攻撃的なアドウェアは性能を低下させ、プライバシーを侵害し、より有害なペイロードへの足がかりにもなり得ます。

Superfish の事件は、「ただの広告」がいかに危険であり得るかを示しています。2014 年後半から、Lenovo はショッピング広告を挿入するためにコンシューマー向けノート PC に Superfish VisualDiscovery をプリインストールしました。暗号化されたページに広告を挿入するため、自己署名のルート CA 証明書をインストールし、ローカルの TLS プロキシを実行しました。これは利用者自身の HTTPS トラフィックに対する意図的な中間者攻撃です。このプロキシ(Komodia の SDK 上に構築)はすべての端末に同一の秘密鍵を出荷しており、その鍵のパスワードは簡単に解読できたため、同一ネットワーク上の攻撃者は誰でも警告なしに任意の HTTPS サイトになりすますことができました。CISA は 2015 年 2 月に警告 TA15-051A を発行し、Lenovo は削除ツールを公開しました。Fireball(Check Point、2017 年)も同様に、ブラウザを大規模に広告収益のゾンビへと変えました。

防御策としては、信頼できる入手元からのみインストールすること、ブラウザ拡張機能の権限を確認すること、広告/スクリプトブロッカー、PUP 対策スキャナ、不要な同梱ソフトの削除、そして予期しないルート証明書がないかシステムの信頼ストアを監査することなどが挙げられます。

flowchart TD
  A[無料ユーティリティ / 同梱インストーラ /<br/>プリインストール OEM ソフト] --> B[アドウェアのインストール]
  B --> C[広告の挿入: ポップアップ、<br/>バナー、検索結果の乗っ取り]
  B --> D[閲覧習慣の追跡]
  B --> E[不正なルート CA<br/>+ ローカル TLS プロキシの設置]
  E --> F[HTTPS を復号して広告挿入<br/>= 中間者攻撃]
  F --> G[共有鍵 → 誰でも任意の<br/>サイトを偽装可能 例: Superfish]
  C --> H[防御: PUP 対策スキャン、広告ブロッカー、<br/>拡張機能の確認、信頼ストアの監査]
  E --> H