Googleは12月9日、ユーザーの許可なく広告を挿入したり、設定を乗っ取ったりする新しい脅威「Unwanted Software(UwS)」に対抗するにあたって、ここ1年の取り組みと成果を報告した。GoogleのWebブラウザ「Chrome」、検索の「Google Search」、それに広告でUwSに対する策を講じた結果、効果はあったとしながらも、業界全体の取り組みが必要としている。

マルウェア対策として、Googleは2007年にフィッシングやマルウェアなど既知のオンラインの脅威から保護する「Safe Browsing」をリリースしている。だが時間の経過とともに、ブラウザの設定をハイジャックして、ユーザーが意図しないソフトウェアのインストールや、アンインストールが困難になるソフトウェアなどの新しい脅威が登場。既存のシステムでは必ずしも検出できないことから「Unwanted Software(UwS)」としてこれらに対抗するための取り組みに着手した。

Googleが例示するUwS

UwSの定義としては、"詐欺的"で、実際とは違うことをうたってインストールさせるようなソフトウェアなど、以下のようなソフトウェアを挙げている。

  • 他のプログラムをインストールする時にユーザーをだまして別のものをインストールしようとするもの

  • ユーザーのシステムに悪影響を与えるもの

  • 削除が難しいもの

  • ユーザーが知らない間に機密情報を収集して送信するもの

  • 他のソフトウェアにバンドルされていて、存在がわかりにくいもの

UwSはさまざまな配布形態があるが、ここのところ見られる手法としては、不正に広告を表示する「広告インジェクター」を挙げている。例えば、New York TimesのWebサイト上で、望まない広告インジェクターが表示された例や、Google Searchの検索結果に広告インジェクターが表示された例などを紹介している。

Googleでは、こうしたUwSに対して、さまざまな取り組みを展開している。

  • Safe BrowsingとSafe BrowsingのAPIにUwS検出を組み込み、WebブラウザのユーザーがUwSを含むサイトを訪問する前に警告する

  • Chrome向けに「Chrome Cleanup Tool」としてUwSを削除するツールを導入する

これは、すでに4000万以上のデバイスで利用されているという。また望まない広告インジェクターについての啓蒙も進め、どのように収益を上げているのかなど、カリフォルニア大学バークレー校と共同で行った調査を発表したほか、「DoubleClick Bid Manager」に、このような広告インジェクターが生成するインプレッションを除去するフィルタを導入した。

  • Google Searchで検索結果にUwSを含むサイトがあるとそれを示すようにした

  • Google広告ではUwSのダウンロードにつながるWebサイトを無効化した

これらの取り組みの結果、その成果は出ているようだ。Googleによると、ChromeユーザーからのUwSに関連した苦情が、上記の対策を開始する前の2014年には全体の40%を占めていたが、現在では比率は20%に下がったという。また、Chrome上で1日に表示するUwS関連のSafe Browsingの警告は500万回以上となっており、1400万人以上のユーザーが190以上の疑わしいChrome拡張を削除したという。また、AdWords経由でのUwS警告の数は2014年と比較して95%も減ったという。

UwSが検出されたサイトを表示しないGoogle Chrome

これらの成果を並べながらも、まだ取り組みは道半ばだという。現在でもChromeユーザーからのフィードバックのうち、20%がUwSに関連したもので、「10人に1人のChromeユーザーは設定を乗っ取られたり、望まない広告インジェクターがマシンに入ったりしているのではないかと推測している」という。Chrome以外のユーザーも同じような問題を抱えているだろうと付け加えている。

今後の取り組みとしては、UwSのエコシステムを考慮して業界全体での取り組みが不可欠だとする。UwSが発生する主要な発生源に対して厳格で明確なポリシーを施行していく必要があり、それが業界全体で実現すれば、各社は自社ユーザーによりよい体験を提供できるとしている。