知らない間にスパム広告がポップアップ表示されるようになってたので対策した話

この記事カテゴリー：やまにブログ タグ：お役立ち

先日、やまにのウェブサイトを確認していたんですが、なんか急に関係ないサイトがポップアップ表示されるようになってました。

最初はグーグルの広告かな？なんて思ってたんですが、さすがにグーグルの広告でこれはないでしょうって考えているうち、なんかちょっとエロいサイトも出てくるもんですから、どうなってんの！？ってなって原因を調べて削除しました。

スパム広告が表示される状態を観察

なんでこれ表示されてるの・・・？わけわかめ・・・汗
まずはスパム広告が表示される状態を観察してみました。

表示されるスパム広告の例

やまにのウェブサイトでどこでも適当にクリックすると、たまに↑のような広告というかウェブサイトが画面の70％くらいのサイズでポップアップしてきます。
（スパム広告と表示されるウェブサイトは直接関係ないので企業名などはモザイクかけました）

表示されるサイトはいろいろで前述のエロいサイトの場合もあれば楽天市場が表示される場合もあります。

PCがマルウェアやウィルスに感染している？

なんか知らない間に使っているPCがマルウェアやウィルスに感染したのかも、と考えて、ブラウザのクッキーやキャッシュデータを全削除したりウィルススキャンしたり。
でも解決できませんでした。

ほかのPCで確認してみる

ほかのPCで確認してみたら、スパム広告が表示されました。

直接的に関係がないPCでも同じようにスパム広告が表示される状況から、ウィルス感染などのPC単体の問題ではなく、ウェブサイトの問題であると確信しました。

WordPressがマルウェアに感染している？

やまにのウェブサイトはWordPressです。
WordPressはウェブサイトを管理するソフトみたいなもので、CMS（コンテンツマネジメントシステム）と総称されます。

WordPressにはいろいろ機能があるわけですが、何かしらの影響でスパム広告が表示されるケースもあるみたい。
それなので、

1. インストールしているプラグインを全部OFF
2. WordPressを最新版へ更新

の2つのアプローチを試しました。

残念ながらスパム広告は消えませんでした。
なかなか手ごわいぞこれ・・・！

変遷URLから怪しいコードを探してみる

プラグインが一番怪しいなあと思っていたので結構凹みました。
けど相変わらずスパム広告が表示される状態なので諦めるわけにはいきません・・・。

スパム広告により関係ないサイトが表示される前に一瞬だけ違うURLが表示されていたので、それを手がかりに怪しいコードを探してみることにしました。
一瞬だけ出てくる違うURLは「syndication.exdynsrv.com」というドメインでした。

そして出てきたのがこちら。

犯人はおまえだ！

犯人は popunder1000.js 、おまえだー！

きっさまー！

というわけで犯人はpopunder1000.jsというファイル。
こいつがスパム広告をポップアップさせてくる。
んですけど、誰がpopunder1000.jsを読み込んでるのかわかんない・・・。

いろいろ調べた結果 Dot metrix のコードがpopunder1000.jsを読んでた

Dot metrixというサービスのコードが読み込んでました。
Dot metrixってなんだ？ということで調べてみたら、グーグルアナリティクスと連携してKPI分析をできるサービスでした。

Googleアナリティクスと連携してKPI分析ができるWEBサービス「Dot metrix」

そいえば以前にコードを入れた気が・・・！
でも、知らぬ間にサービス終了していましたorz

そしてスパム広告

1. Dot metrix 設置
2. Dot metrix サービス終了
3. Dot metrixのドメインが他の業者に買われる
4. Dot metrixコード経由でpopunder1000.jsが読み込まれてスパム広告が表示される状態に

という感じでDot metrixのコード経由でスパム広告が表示される仕組みになってました。
終了ドメインの他社取得による入れ替わりおそロシア・・・！

スパム広告を表示していたコード

こちらがスパム広告を表示させていたコードでした。

<script type=’text/javascript’>
(function(doc, dm) {
if (!dm.VERSION) {
window.dotmetrix = dm;

dm._queue = [];
dm.init = function(api_token, b, c) {
dm.API_TOKEN = api_token;
function f(dm, fname) { dm[fname] = function() { dm._queue.push([fname].concat([].slice.call(arguments, 0))); } }
var functions = ‘track identify set’.split(‘ ‘);
for (var i = 0; i < functions.length; i++) f(dm, functions[i]);
};

s = doc.createElement(“script”); s.type = “text/javascript”; s.async = !0; s.src = “https://api.dot-metrix.com/dot-metrix.p.js”; e = doc.getElementsByTagName(“script”)[0]; e.parentNode.insertBefore(s, e);
}
})(document, window.dotmetrix || {});
dotmetrix.init(‘PXATPxwz3mUSPrg1vs4a’);
</script>

やまにでは header.php に記述していたのでこれを削除。
スパム広告が消えました。

お試しで入れてみたサービスだったので、コードを書いたのをすっかり忘れてました。
どうも11月くらいからスパム広告が出てたようです。

あ、ご覧いただきありがとうございます！弊社のご近所さんでも被害があったので、昨日お話ししてきました。１８日から現象あったそうです。https://t.co/BfjESNKayL
アフィリエイトにしては、壮大過ぎませんか？（笑）

— 関本 雅和@関本家具装芸 (@sekimotokagu) December 11, 2020

関本家具装芸さん、教えて頂きありがとうございます＼(^o^)／
ほんと、壮大な広告費稼ぎ手法でしたね。
どれくらい収入あるんでしょうかね〜。

最後に

最後に、やまにのウェブサイトに訪れてくれる皆様、すみませんでしたm(_ _)m
これからもどうぞ宜しくお願い致します。

この記事を書いた人

こぎそ

小木曽ですこぎそです。やまにの小木曽といえばわたしです。

最新の投稿

• やまにブログ2024.04.15PUDOステーションでの荷物の出し方
• やまにブログ2024.04.11サイゼリヤに行きたい！瑞浪駅から行けるサイゼリヤを調べてみたよ
• やまにブログ2024.04.03【まとめ】瑞浪市の焼肉店を紹介する
• やまにブログ2024.03.23音がうるさいのでトイレの換気扇を分解して掃除してみた