漫画村外伝:広告詐欺と仕掛け人三兄弟

4月に閉鎖した大手海賊版サイト「漫画村」については、その収益化方法として画面に表示される広告(ディスプレイ広告)のほかに、Coinhiveを利用した仮想通貨マイニング、そして閲覧者の見えない部分で広告を表示させる「広告詐欺(アドフラウド)」も含まれていました。

今回漫画村で行われていたのは「隠し広告」とよばれるの広告詐欺の手法の一つで、閲覧者が漫画村のサイトを表示すると、プログラムが「まとめサイト」などを装ったサイトを見えない形で開き、このサイトに掲載されている広告が表示されます。これによってサイト運営者は不正に広告収益を獲得することができます。

この広告詐欺行為のために用意されたサイトの運営者と漫画村の関係についてはおそらく直接的な関係はそれほどなく、その間を取り持っているのは広告代理店とみられます。彼らが中心となって漫画村における広告詐欺を主導し、漫画村の運営者とも金銭的なやりとりなど密接な関係にあったのではないかと私は考えています。

(Updated): 記事公開直後、一部の会社について特定が容易な状態で記載したうえで、関与があると受け取れる表現を行っていましたが、これは調べで浮上したデータから、ドメイン自体との何らかの関連について示すものであり、それについて断言したり、またその会社を糾弾するなどの意図はございません。不適切な表現で誤解を招いてしまったことをお詫びいたします。ヒントとなりうる情報は削除しました。

漫画村での広告詐欺

漫画村の隠し広告でまとめサイトを装った不正なサイトが表示される際に、パソコン版ではA社のサイト、スマートフォン版ではB社のサイトというように役割分担がなされていました。このような処理を漫画村が独断で行っているのか、両者間での合意があってのうえでなのかは不明です。

パソコン版ページの不正なサイト

さて、漫画村の裏で実際にどのような仕組みで不正なサイトが表示されていたかを解説していきます。

漫画村での広告詐欺は2017年12月ごろから、漫画村が閉鎖する直前の2018年4月17日まで行われていました。以下は、ウェブの調査サイト urlscan.io で2017年12月29日に取得されたパソコン版ページのHTTPリクエストの一部です。

漫画村のHTTPリクエスト一覧(2017年12月29日)
漫画村のHTTPリクエスト一覧(2017年12月29日)

URL: https://urlscan.io/result/50d8e166-c91f-4f06-b0d7-ba7af435db68/#transactions

画像の最下部で示しているように、このページでは以下のURLのスクリプトが読み込まれていることがわかります。

hxxp://web-analysis[.]click/survey/mangamura.js

このスクリプトのコードは以下のように難読化がなされており、人間の目で読むことは困難です。

難読化された広告挿入コード
難読化された広告挿入コード

この難読化を解除したものが以下になります。

難読化を解除したた広告挿入コード
難読化を解除したた広告挿入コード

このスクリプトでは、以下の3つのURLからランダムに一つをフレームで開く処理が行われています。このURLのリストは2017年12月26日から2018年4月5日まで変わっていません。

  • hxxp://analysiswebtool[.]com/check01/
  • hxxp://analysiswebtool[.]com/check02/
  • hxxp://analysiswebtool[.]com/check02/

リストの3つ目の hxxp://analysiswebtool[.]com/check02/ を同じように urlscan.io でHTTPリクエストの一覧が以下になります。こちらは2018年4月6日に取得されたものですが、2018年3月27日から内容は変わっていません。

analysiswebtool[.]com のHTTPリクエストの一覧(2018年4月6日)
analysiswebtool[.]com のHTTPリクエストの一覧(2018年4月6日)

URL: https://urlscan.io/result/92d19f13-9791-459b-b824-4a08176b30c0/#transactions

画像の最下行を見ると、またも以下のURLのスクリプトが読み込まれていることがわかります。

hxxp://analysiswebtool[.]com/survey/analysiswebtool_check02.js

これも難読化が行われています。

難読化された広告挿入コード2
難読化された広告挿入コード2

再度難読化を解除していきます。

難読化を解除したた広告挿入コード2
難読化を解除したた広告挿入コード2

このようにして難読化したJavaScriptからフレームを表示する処理が二重に行われ、ようやくここから不正なサイトが読み込まれるのですが、このコードでは閲覧者のユーザーエージェントをもとにパソコンからのアクセスであると判断された場合のみ、不正なサイトを表示するようになっています。

表示される不正なサイトは以下のとおりです。全期間分のアーカイブを取得できていないため、時期によって analysiswebtool_check02.js の内容が変化している可能性があり、これら以外にもURLが存在する可能性はあります。(*1)

  • hxxp://itcore[.]website/
  • hxxps://move2[.]co/g/VyvPtBj
  • hxxps://move2[.]co/g/g6k5XSV
  • hxxps://move2[.]co/g/pTdHxmZ
  • hxxp://access-library[.]com/
  • hxxps://move2[.]co/g/26TE4te
  • hxxps://move2[.]co/g/qXuwCos
  • hxxps://move2[.]co/g/g6k5XSV
  • hxxps://move2[.]co/g/nTJ0Lnj
  • hxxp://access-library[.]com/

上のリストは2つに分けていますが、このうちの1つずつがフレームで読み込まれるようになっています。

また、一定時間(20〜100秒)が経過するとさらにページビューを水増しするために全フレーム内のページがリロードされます。

残念ながら、これらのURLで不正に広告が表示される証拠をアーカイブなどに残すことができませんでした。しかし、漫画村の管理者が運営する別サイトにおいて同じドメインから同じ手口で不正に広告が表示される証拠はスクリーンショットにして残すことはできました(2018年4月20日に撮影)。

ShareVideosでの広告詐欺1

ShareVideosでの広告詐欺2

画像の1枚目は、ページの最下部に挿入される不正なまとめサイトのフレームを表示させた状態です。2枚目は、表示されるサイト上で表示されるURLの一覧から広告のドメインを赤線でハイライトしています。

スマートフォン版ページの不正なサイト

次に、スマートフォン版のページを見ていきます。以下はパソコン版と同様に urlscan.io で2018年4月6日に取得したHTTPリクエストの一部です。

漫画村のHTTPリクエスト一覧(2018年4月6日)
漫画村のHTTPリクエスト一覧(2018年4月6日)

以下のURLのスクリプト(*1)が読み込まれています。画像はその一部です。

hxxp://js.aaddcount[.]com/other/excellent.js

モバイルでの広告挿入コード
モバイルでの広告挿入コード

全文: https://web.archive.org/web/20180418144034/http://js.aaddcount.com/other/excellent.js



上のスクリプトは、閲覧者がスマートフォンからアクセスしている場合にのみさらに次のURLのスクリプトを読み込みます。

hxxp://user.in[.]net/excellent.js

モバイルでの広告挿入コード2
モバイルでの広告挿入コード2

全文: https://web.archive.org/web/20180214031358/http://user.in.net/excellent.js



Android/iPhone/iPadでアクセスされている場合、最後に次のURLを1×1のフレームで読み込みます。

hxxp://user.in[.]net/link/?type=excellent

モバイルでの広告挿入コード3
モバイルでの広告挿入コード3

全文: https://privatebin.net/?e03376fffa97c82d#nHmTxTd7CLqUt3WA5YKj/ULFM+ozwvHY82wq7UcPbc0=



このページは、恐ろしいことに40以上ものまとめサイトをフレームで開き始めます。実際にスマートフォン版の漫画村をパソコンで開いた画像が以下になります。

漫画村をスマートフォンで開いたときのリクエスト
漫画村をスマートフォンで開いたときのリクエスト(4月6日撮影)

画像下部で示しているように、この結果、1ページ開いただけで帯域を28.23MBも使用していることがわかります。漫画村の利用者はこれに気づかなかったのでしょうか。

画像にも一部写っていますが、これらのまとめサイトで広告も大量に表示されます。広告の詳細については割愛します。

偽まとめサイトの全ドメインリスト: https://privatebin.net/?3dd9786dea7575a9#9Z6QhC9ReRMTC9y/d7CiUo/MAfeWKQAfhTh/r5wugEk=

広告詐欺の首謀者は何者か

長くなりましたが、冒頭で説明したように漫画村での広告詐欺に使われている複数のドメインはそれぞれ別の会社が所有していると考えています。ここから、その結論にたどり着くまでを説明します。

鍵となるのはこの3つのドメインです。

  • web-analysis[.]click
  • aaddcount[.]com
  • user.in[.]net

では、パソコン版ページで使われていたスクリプトのドメイン web-analysis[.]click から調べていきます。

このドメインに関係するほかのドメインのうち一つのWHOIS情報を照会したところ、ある会社の名前が浮上しました。

WHOIS情報で浮上した会社
WHOIS情報で浮上した会社

しかしながら、これに関しては以上の情報は見つかっておらず、詳細は不明です。

また、これに関連する別のドメインからほかに複数社の社名が浮上していますが、どれも規模としては小さく数も多いため、これらの会社を束ねるもう一つの会社が別に存在するのではないかと考えています。

そして、スマートフォン版ページで使われていたドメインは以下の2つです。

  • js.aaddcount[.]com
  • user.in[.]net

上の aaddcount[.]com の所有者については、都内のY社であることは既に各所で報じられていることなので割愛します。

続いて下の user.in[.]net ですが、このドメインで使われていたサーバーをCensysで調べました。

注目すべきポイントが、このサーバーで使用されているSSL証明書に記載されているコモンネーム(暗号化を行うドメイン)のドメインです。ここには、ある会社が所有するドメインが記されていました。

SSL証明書から関連するドメインを発見
SSL証明書から関連するドメインを発見

このドメインのWHOIS情報を照会すると、都内の会社Kの名前が浮上しました。

WHOIS情報で浮上した都内の会社
WHOIS情報で浮上した都内の会社

また、このドメインのIPアドレスも同一であることから、この会社が何らかの関係がある可能性は高いと考えられます。

話を整理します。漫画村での広告詐欺に関係する3つのドメインから、それらの所有者と思われる複数の社名が浮かび上がってきました。一部では驚くべきことに一般ユーザーではなく広告代理店らが中心となって、今回の詐欺行為に関与していた可能性があります。まとめサイトについては、連絡先を公開しているサイトもあり、サイトの運営は別の人物らにまかせていたものとみられます。

おわりに

本記事では、漫画村でどのように広告詐欺が行われていたかを解説しました。漫画村の終焉とともに、関連する全てのドメインは表示できなくなっていますが、上で挙げたドメインの一つは現在も新しいドメインで同様の不正行為を確認しています。

巷では、ブロッキングを含めた海賊版サイトへの対策が話題ですが、彼らのような犯罪組織にとって海賊はシノギの一つでしかなく、オンライン詐欺にも手を出す連中であるということが本記事でよくおわかりいただけたかと思います。このように巧妙な手口で暗躍する彼らに対し法執行機関がどのようなアクションを行っていくのかも見ものだなと思っています。

あともうちょっと早く書けたのになあと思いました。

最近もまあ特に変わんないです。それでは。

備考

(*1): analysiswebtool_check01.js は2018/1/31 15:07 から 2018/4/18 22:23 まで内容は変わらず。
(*2): 2017/11/29 04:55 から 2018/04/18 23:40 まで内容は変わらず。

hxxp://analysiswebtool[.]com/survey/analysiswebtool_check01.js: https://urlscan.io/responses/15739165057bb67b497c312b17112800e6a34dd77a4206d15e2655fc7cb116a1/

(更新 2018/09/14):記事を公開してから数日後、関連する3つのドメインすべてのIPアドレスが変更され、ページが表示できなくなっていることを確認しました。ドメインは以下のとおりです。

  • web-analysis[.]click
  • analysiswebtool[.]com
  • analyticschecker[.]com

投稿をシェア

“漫画村外伝:広告詐欺と仕掛け人三兄弟” への7件の返信

  1. すばらしい記事でした。
    Cheenaさんの書く文章って小説なんかより全然おもしろくていつもわくわくしながら読んでいます。
    思ったのすが、広告会社に不正検知の仕組みってないのですかねー
    display noneとか1pxのiframeでも表示としてカウントされるってザルだなーと思いました

    あと漫画村は利用者のデータも月数百万円で売っていたというのもどこがやってたか興味深いです。同じ会社でしょうか?

    それと星野ロミって広告剥がされたときxbooksみたいに海外のpopcashとかtraffic junkyとかを使わなかったのかも気になります。収益性は落ちますがやつらは基本なんでもokだと思うので

    応援しています。頑張ってください!

  2. “`
    $ whois bloglivedoor.jp

    Domain Information: [ドメイン情報]
    [Domain Name] BLOGLIVEDOOR.JP

    [登録者名] **** K-****
    [Registrant] K-**** ****

    [Name Server] ****
    [Name Server] ****
    [Signing Key]

    [登録年月日] 2018/06/05
    [有効期限] 2019/06/30
    [状態] Active
    [最終更新] 2018/06/05 23:44:31 (JST)
    “`

  3. この難読化の解除には何を使っているのでしょうか?生のjsにしてもいくらなんでも読みづらいものが、あんなに綺麗になるなんて。興味本位ですが、ご共有くだされば嬉しいです。

コメントを残す

メールアドレスが公開されることはありません。