(追記)
2025/02/07 09:35 と同一内容です。こちらは悪意あるスクリプトをブロックしましたが、ノーガードで飛び込むと危険です。
【警告】有害コンテンツ・サイトです! リンク先は
ttps://googleads.g.doubleclick.net/aclk?sa=l&ai=CClXc6lalZ9PqM7zUvcAPztazkA2wio31fKLqqoXLE86S64mMDhABINWfmQZgibvNhJgUoAHLwJS5PsgBAeACAKgDAcgDSKoEywJP0MBhSdNfh1NUf7ZkpAqMIqFLnyP4MmKRHxZLNZi9qZkWutChrpUzSTyQu6R7DZMOQmgi6kz7SyNNsMmFmLmIWrGFq0HhzXAeIEGyyF3F2pth63h9A79ZioWeTM1SeXCkBVwlMF0c1FckCrVyVXzsPEsSe5DXyI4rgpv0hF30wIQU3XRNsY8DT0fickmMq1alKT3pnbdAanQ-cGkwpUaiZiduBo6xoJYR45G85fHUdI2yDmaLzwkX3QSoMUDI8BB0Oux_SyHGRCSFViaX8b95INSwVtiC4ujpCQYgo12r6h8fqQbcjaoHY01BHup2D7c3Z5s1hXjpbcLLUh7qEZsDfxlwlwMD6fKjPQnb-goARv8hd-xNG8UlkysoRZo1H7yrxB3XDCNIQSmu7MzlaCV9bfL9AheBKzPR4qBA96VRDM-jx0K02glk6JYFwASstPPY-wTgBAGIBZa6gtBRoAYugAfL-OSYGagH1ckbqAfZtrECqAemvhuoB47OG6gHk9gbqAfw4BuoB-6WsQKoB_6esQKoB6–sQKoB5oGqAfz0RuoB5bYG6gHqpuxAqgH4L2xAqgH_56xAqgH35-xAqgH-MKxAqgH-8KxAtgHAdIILgiA4YBAEAEYnQEyAosCOhCAwICAgIAggMCAgICgqIACSL39wTpY48iBjKqwiwOxCRWQryiROrDbgAoBmAsByAsBqg0CSlDIDQHiDRMIy5CCjKqwiwMVPGoPAh1O6wzS6g0TCPPogoyqsIsDFTxqDwIdTusM0tgTAogUAdAVAfgWAYAXAbIXAhgBuhcCOAGyGAkSAsBPGC4iAQDQGAE&ae=1&gclid=EAIaIQobChMI04eEjKqwiwMVPGoPAh1O6wzSEAEYASAAEgJ5lfD_BwE&num=1&cid=CAQSTwCjtLzMYCQ21Rno3OS4wRyLAPDadd_Lx6ovuAEem5IpV4DftKG0RNUAyhWipSlAZrkW9gambjw4hF84d2Ja9-5P7nOcvRtzwqBd1PNOV7EYAQ&sig=AOD64_33Et6VyBsGz13mrUby36FLrEVoWw&client=ca-pub-4478613964609822&rf=1&nb=9&adurl=https://nursefood.shop%3Fgad_source%3D5%26gclid%3DEAIaIQobChMI04eEjKqwiwMVPGoPAh1O6wzSEAEYASAAEgJ5lfD_BwE
広告先はこちらです。(※注意! 開かないで!!)
ttps://nursefood.shop/
基本的な違反内容は「広告の見た目とリンク先の内容がまったく異なる広告」です。また、広告画像は著作権違反の可能性があります。リンク先はフードデリバリーサービス……と見せかけた、中身のないサイト……に見せかけた(おそらく)有害サイトとなっています。確認したところ、ほぼすべてのリンクが無効で、アプリどころかXアカウントすら見掛け倒しでリンク切れ、そんなばかな、と思ってHTMLを確認したところ、Base64エンコードされた異様なコードを発見。ChatGPTに食べてもらって解読してもらったところ、かなりたちの悪いコードが注入されています。
以下、ChatGPTによる解説(概要)です。
以下は、このスクリプトの解析結果でございます。まず、コード全体はかなり隠蔽されており、evalとatobを用いてBase64エンコードされた文字列を実行する形式になっております。
このスクリプトは、利用者がページ上で何らかのマウス関連の動作(「mousemotion」イベント)を行った際に、以下の流れを実行いたします。
(中略)
6. サーバーからの応答とリモートコードの実行
リクエストが成功すると、サーバーからの応答(テキスト形式)が返されます。
その応答は、decodeAndRunScript(encodedScript) 関数によって処理されます。
この関数は、受け取った文字列をatobでBase64デコードし、evalで実行いたします。
つまり、サーバーから返されるコードが、クライアント側でそのまま実行される仕組みとなっております。
(中略)
・全体動作
一度だけ実行され、二度と再実行されないように設定される。
キーボードのロックを試みる(利用可能な場合)。
利用者のタイムゾーンと現在のURLを取得し、サーバー " ttps://redirect1-oa5k.onrender.com" へPOSTで送信する。
サーバーからの応答は、Base64エンコードされたコードとして返され、これをデコードしevalにより実行する。
結論
このスクリプトは、利用者の環境情報を収集し、外部サーバーから返される(Base64エンコードされた)コードを解読して実行する仕組みになっております。evalを使っている点や、外部からのコードをそのまま実行する点から、悪意ある動作やセキュリティ上のリスクが含まれている可能性が高いので、十分に注意して取り扱う必要がございます。
このような処理は、リモートのサーバーが送る追加のコードを実行するためのものです。評価の際、evalの使用や外部からのコード注入は、潜在的に危険であり、悪意あるコードが実行されるリスクを伴います。
内容的には、単純に閲覧環境調査用のコードが実行されていると思われますが、しかしPOST先から悪意あるコードを注入される可能性が極めて高いと判断しました。
デコードした問題のコードはこれです。
function decodeAndRunScript(encodedScript) {
try {
const script = atob(encodedScript); ←Base64デコードして即スクリプト実行
eval(script);
ただちにブロックすべきドメインは、 nursefood.shop と onrender. com (リンクになってしまうのでスペースを挟んでいます)になります。
報告は以上です。お忙しいとは思いますが、早急な対応をお願い致します。