Microsoft、ブラウザの検索結果にアフィリエイトを勝手に挿入する「Adrozek」に警告促す

非感染状態の検索結果(左)とマルウェアで影響を受けた(右)検索結果

　Microsoftのセキュリティチーム「Microsoft 365 Defender リサーチチーム」は、ブラウザの検索結果に影響を及ぼすブラウザ修飾子マルウェア「Adrozek」に警告を促している。

　このマルウェアは、2020年5月以降に大量に配布されており、8月のピーク時には毎日30,000台以上のデバイスで感染が確認されていたもので、Microsoft EdgeやGoogle Chrome、Mozilla Firefoxなどの多くのブラウザで感染し、ブラウザ拡張機能を追加したうえで設定を変更し、検索エンジンからの正規広告の上に無許可のアフィリエイトページを追加表示するマルウェア。攻撃者はこのアフィリエイトページのプログラムで収益を得ているものとみられる。

　リサーチチームは、「アフィリエイトプログラムやブラウザ修飾子を利用したマルウェアは新しいものではない」としながらも、このAdrozekが複数のブラウザに影響を与えるなど、手口が巧妙化していると指摘している。

2020年5月から9月までのAdrozekの感染分布

　Adrozekは、2020年5月から9月にかけ、ヨーロッパや南アジア、東南アジアを主として数十万件の感染を確認。現在も進行しているとみている。

　感染方法として、正規ドメインから不正にリダイレクトされたサイトを介し感染する「ドライブバイダウンロード方式」で、同チームの調べによると159のドメインがマルウェア配布に使用されていた。

　Adrozekは、インストール後に「Quick Audio」などオーディオ関連のソフトなどを装いインストールされ、ブラウザDLLやセキュリティ設定などを改ざんし、永続性を維持するためにサービスを作成するなどの動きをする。

　同チームは対策として、Windows 10に組み込まれている「Microsoft Defender Antivirus」でブロックできるとしているほか、感染後はブラウザの再インストールも推奨している。