[論文レビュー] When Push Comes to Ads: Measuring the Rise of (Malicious) Push Advertising
本論文では、Webプッシュ通知(WPN)を自動収集・分析することで、WPNベースの広告キャンペーンを検出するとともに、悪意あるものを同定するシステム「PushAdMiner」を紹介する。収集した572件のキャンペーンから得られた5,143件のWPN広告のうち51%が悪意あるものであることが判明し、従来の広告ブロッカーではそれらを阻止できないことが明らかになり、深刻なセキュリティ上の空白が露呈された。
The rapid growth of online advertising has fueled the growth of ad-blocking software, such as new ad-blocking and privacy-oriented browsers or browser extensions. In response, both ad publishers and ad networks are constantly trying to pursue new strategies to keep up their revenues. To this end, ad networks have started to leverage the Web Push technology enabled by modern web browsers. As web push notifications (WPNs) are relatively new, their role in ad delivery has not yet been studied in depth. Furthermore, it is unclear to what extent WPN ads are being abused for malvertising (i.e., to deliver malicious ads). In this paper, we aim to fill this gap. Specifically, we propose a system called PushAdMiner that is dedicated to (1) automatically registering for and collecting a large number of web-based push notifications from publisher websites, (2) finding WPN-based ads among these notifications, and (3) discovering malicious WPN-based ad campaigns.Using PushAdMiner, we collected and analyzed 21,541 WPN messages by visiting thousands of different websites. Among these, our system identified 572 WPN ad campaigns, for a total of 5,143 WPN-based ads that were pushed by a variety of ad networks. Furthermore, we found that 51% of all WPN ads we collected are malicious, and that traditional ad-blockers and URL filters were mostly unable to block them, thus leaving a significant abuse vector unchecked.
研究の動機と目的
- Webプッシュ技術が広告配信にどのように利用されているか、特に広告ブロッカー回避の文脈において調査すること。
- Webプッシュ通知(WPN)を通じた悪意あるプッシュ広告(マラウェア広告)の普及状況を特定・分析すること。
- 既存の広告ブロッキングソリューションがWPNベースの悪意ある広告を検出・ブロックする効果性を評価すること。
- WPNの乱用が、現在ほとんど監視・是正されていない、新たなマラウェア広告の脅威として浮き彫りになること。
提案手法
- スケーラブルなブラウザベースの収集パイプラインを用いて、数千の出版者WebサイトでWebプッシュ通知の登録を自動化する。
- 現代のブラウザプッシュ通知APIを介して、Webサイトがユーザーのデバイスに送信するすべてのWPNメッセージを収集・ログ記録する。
- 自動化されたヒューリスティクスとシグネチャベース分析を適用し、収集された通知を潜在的な広告または悪意あるコンテンツに分類する。
- クラスタリングとパターン認識を用いて、異なるドメインや広告ネットワークを横断して繰り返し出現する広告キャンペーンを同定する。
- URLおよびコンテンツ分析を活用し、WPNペイロード内に既知の悪意あるインジケーターを検出する。
- 不審な通知の手動検査と、既知の脅威インテリジェンスフィードとの照合により、発見結果を検証する。
実験結果
リサーチクエスチョン
- RQ1第三者広告ネットワークは、Webプッシュ通知を広告配信にどの程度利用しているか?
- RQ2Webプッシュ通知を通じたマラウェア広告はどれほど広がっており、WPNベースの広告の何パーセントが悪意あるものか?
- RQ3従来の広告ブロッカーおよびURLフィルタは、WPNベースの悪意ある広告を効果的に検出・ブロックできるか?
- RQ4異なるWebサイトや広告ネットワークを通じて、悪意あるWPN広告キャンペーンの特徴と配布パターンはどのようなものか?
主な発見
- PushAdMinerは、数千のWebサイトにまたがる572の異なるWPN広告キャンペーンから、合計21,541件のWebプッシュ通知(WPN)メッセージを収集した。
- 合計5,143件のWPNベースの広告が同定され、そのうち51%が悪意あるものと分類された。これは、WPNを通じたマラウェア広告の顕著な広がりを示している。
- 従来の広告ブロッカーおよびURLフィルタは、悪意あるWPN広告の大部分をブロックできず、現在のクライアント側セキュリティ防御における深刻な盲点を露呈した。
- 本研究では、技術の相対的な新規性や監視の少なさにもかかわらず、広告ネットワークがWPNを活用して広告(悪意あるものも含む)を配信していることが明らかになった。
- 悪意あるWPNキャンペーンは、多様なドメインやネットワークに広がって配布されており、プッシュ通知メカニズムの広範かつ計画的な乱用が行われていることが示された。
- 結果として、WPNがマラウェア広告の主要かつ保護が不十分な脅威ベクトルに発展しており、ユーザーのプライバシーとセキュリティに対して深刻な脅威をもたらしていることが明らかになった。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。