インターネット犯罪対策が専門の米国Click Forensicsが9月17日に投稿したブログ記事によると、新たなボットネットの出現により、広告料の詐取などを目的とした不正クリック行為が急増しているという。

　Click Forensicsでは、オンライン広告に対する不正なクリックを監視しており、四半期ごとにレポートを発表している。同社によれば、近年、不正クリックを仕掛ける攻撃者は、ボットネットを多用するようになっているという。

　不正クリックの狙いは、検索エンジンやWebページに掲載されているクリック課金型（PPC：Pay Per Click)広告のクリック数を不正に操ることにある。例えば、自身のサイトに掲載したPPC広告のクリック数を増やして広告掲載料を不正に稼いだり、逆に競合企業のPPC広告を繰り返しクリックして広告費の負担を重くしたりするのだ。

　通常、広告配信や広告料の管理を行うアドネットワーク・プロバイダーや、広告を掲載する検索エンジン、Webサイトなどは、こうした不正なクリックを検出して排除する高度なフィルタを利用している。

　だが、Click Forensicsによると、不正クリックに関与しているボットネット設計者は、不正トラフィックを正規のものに見せかける手段を発見した。新たなボットネットは、トラフィックの発信元を隠したり、攻撃の間隔や範囲を変えたりすることで、フィルタをすり抜けるのだという。

　Click Forensicsでは、新たに見つかったボットネットを「バハマ・ボットネット」と呼んでいる。これは、当初このボットネットがバハマにある20万のパーク・ドメイン（取得後利用されておらず保管状態になっているドメイン）を使ってトラフィックをリダイレクトしていたためで、現在はアムステルダムや英国、米国シリコン・バレーにあるサイトが使われている。同社では、バハマ・ボットネットの背後にも、不正クリック行為で稼ごうとする者がいると見ている。

　Click Forensicsによれば、PPC広告を出稿している企業が毎月支払う料金のおよそ30％が、ボットネットを利用した不正クリックのトラフィックに飲み込まれているという。

　バハマ・ボットネットには、マルウェアに侵入された一般ユーザーのPCも組み込まれている。このマルウェアの配布元をたどると、実在しないウイルス「Facebook Fan Check」の名前をかたったサイトが浮上してくる。

　セキュリティ・ベンダーのSophosとFacebookは先週、「新しいFacebookアプリケーション『Fan Check』からウイルスを取り除く」と称する不正なWebサイトが出現し、ここにアクセスするとPCにマルウェアが送り込まれるおそれがあると警告した。これは、Fan CheckがPCにマルウェアを送り込むという誤ったうわさに乗じたもので、Facebookユーザーが検索エンジンでFan Checkに関する情報を検索すると、マルウェアの配布サイトに誘導されるようになっているという。

　Click Forensicsによると、バハマ・ボットネットのマルウェアは、先週末に米国のNew York TimesのWebサイトに掲載されてしまった不正広告で用いられた「スケアウェア（偽のウイルス対策ソフト）」に酷似しているという。このスケアウェアは、PCがウイルスに感染しているという虚偽のメッセージを表示し、偽のウイルス対策ソフト購入を勧めるものだった。

　Click Forensicsでは、主要アドネットワーク・プロバイダーや広告会社、検索エンジン、Webメディア企業、セキュリティ企業に対して、バハマ・ボットネットとその対策に関する情報を提供している。