2021 年 6 月 25 日 Josh Stuifbergen 著

Google Doodle で遊べるパックマンが公開されてから 11 年が経ちました。この Google Doodle は、初めて作られたインタラクティブな Google Doodle で、記憶に新しい方も多いのではないでしょうか。しかし残念ながら、楽しいこともあれば、それを悪用する人もいます。最近ウォッチガードは、DNSWatch のトラフィックが googlepacman[.]net をブロックしていることを発見しました。これを検査した結果、この Web サイトは Google や Google Doodle のパックマンとは何の関係もない、「Google」の名前を騙るドメインパーキングであることが明らかになりました。このサイトは、実際の Google Doodle パックマン同様の GIF と説明文、そして他のゲームのリストで構成されています。

この目的は、画像をクリックすればゲームが始まると思わせてユーザに GIF をクリックさせることです。しかしクリックすると、多くのドメインのいずれかにリダイレクトされ、アクセスの許可を要求されます。あるリダイレクトでは、ページ内の YouTube 動画を再生する目的でプッシュ通知の有効化を要求されました。下の画像のケースでは、ユーザがボットではないことを証明する、という名目です。

ほとんどの人が通常行うように、ここでは「ブロック」をクリックしました。

「ブロック」を選択した場合、CAPTCHA のような表示のクリックを要求されます。すると別のリダイレクトにつながり、再びプッシュ通知の有効化を要求されました。これもブロックすると、通常は google[.]com にリダイレクトされます。

次にプッシュ通知を有効にした場合の結果をテストしてみました。画像で示したように、予想通り多くの迷惑広告が表示されました。

プッシュ通知の広告は数分ごとに現れます。いくつかのドメインで通知を有効にしたため、通知は次々に表示されました。通知の目的を知るために、いくつかをクリックしてみました。動作には 2 種類ありました。一方は別のドメインにリダイレクトし、再度プッシュ通知を有効にするようユーザに要求するものでした。もう一方は、有害な可能性のあるプログラム (PUP) のインストールを促すものでした。ここでは、「TotalAV Windows Antivirus」ソフトウェアをインストールするように何度も指示されました。

上記の例のように、偽装された状態や、混乱するような状況で TotalAV のインストールを促される例については、オンライン上に情報が溢れています。このソフトウェアがインストールされた場合、ユーザに新たなソフトウェアを購入させるため、偽のセキュリティ警告が生成されることがあります。他には、「Norton Antivirus」を売りつける例も発見しています。

別の形の通知もあり、一番下のものは猥褻な釣り広告です。クリックすると、当然のことながら、アダルトサイトにつながります。

Chrome における通知の大きな問題点は、カーソルを合わせても URL が表示されないことです。クリックした先が宣伝通りのコンテンツかどうか、ユーザは判別することができません。googlepacman[.]net の例では、プッシュ通知は主に PUP や、相次ぐ他の広告につながっていました。これらは、直接的に害があるわけではありませんが、トロイの木馬ソフトやその他マルウェアのインストールへの誘導に使用される可能性があります。

プッシュ通知を削除する手順は簡単です。Chrome の設定で「プライバシーとセキュリティ」を開き、「サイトの設定」をクリックします。ページの一番上に、最近設定を行ったドメインが表示され、さらにその下に「すべてのサイトに保存されている権限とデータを表示」というオプションがあります。いずれかのドメインをクリックした後、「通知」を「ブロック」に変更します。

googlepacman[.]net ドメインからリダイレクトされた、悪意のある、または不審なドメインは以下です。

premiumbros[.]com
quicklisti[.]com
kokotrokot[.]com
allowsuccess[.]org
time4news[.]net
aloha-news[.]net
besty-deals[.]com

その他、PCAP 分析で見つかった不審なドメインは以下です。

www1.news-back[.]org
inpagepush[.]com
youradexchange[.]com
feed.r-tb[.]com
news-easy[.]org
t.ocmhood[.]com
t.r-tb[.]com
bigrourg[.]net
my.rtmark[.]net
data-px[.]services
ny-t.r-tb[.]com
brandlle[.]com
qubscribe[.]com