自分のサイトで「いつもの広告」をクリックしたら、突然ウイルス警告や詐欺サイトに飛ばされた…なんて経験ありませんか?
実は、サイト運営者さんがどんなにセキュリティを強化しても、広告そのものが「途中で」乗っ取られてしまうケースが2026年2月現在も増え続けているんです。マルバタイジングは信頼性の高い広告ネットワークを通じて攻撃を仕掛けるため、従来の広告詐欺よりも発見が難しくなっています。
サイト運営者も被害者なのに、訪問者からは「このサイト危ない」って思われちゃう…そんな理不尽な状況と、私が実際に取った4つの対策を、誰でもわかるように解説します!
この記事のポイント
- 広告の見た目は普通なのに中身だけ書き換えられる仕組み
- プラグイン更新・検索窓チェック・WAF設定で防御力アップ
- 運営者も被害者だが、できる対策は複数存在する
8分33秒でわかるまとめ動画
まず知っておきたい!犯人は「広告の通り道」を狙ってる
サイトに広告を載せるとき、多くの運営者さんはGoogleアドセンスみたいな広告配信サービスから発行された1行のコード(タグっていいます)を貼り付けるだけですよね。
マルバタイジングは、広告配信事業者のシステムに攻撃を仕掛け、配信される広告の一部を書き換える手口です。つまり、サイト自体は無事なのに、そのコードが呼び出す「先」にある広告配信サーバーとか中継地点が汚染されちゃってるんです。
見た目は普通、でも中身が別物
ここがめっちゃ悪質なポイントなんですけど、犯人は広告のバナー画像(見た目)はそのままにするため、ユーザーも運営者も見慣れたバナーであれば疑いを持たずにクリックしてしまいます。
見た目が変わらないから、運営者がサイトをチェックしても「いつも通りだな」って思っちゃって、異常に気づくのがめちゃくちゃ遅れるんです。
なんでこんな事が起きるの?3つの盲点
「広告コードは何もいじってない」って状況でも、実は他の場所で汚染が起きてる可能性があります。
①広告タグが外部から読み込むスクリプトの改ざん
Webサイトやアプリに表示される広告タグを悪用して、ユーザーを悪意のあるサイトにリダイレクトしたり、マルウェアを実行させたりします。
あなたがサイトに貼ったタグが外部のサーバーから情報を読み込む瞬間に、そのスクリプト自体が攻撃者によって書き換えられてる場合があるんです。これって運営側の管理画面からは見えないし、訪問者のブラウザ上で実行される瞬間にだけ牙を剥くから、発見が超難しい…。
②ヘッダービディングの仕組みの悪用
広告収益を上げるために導入してる「ヘッダービディング」(複数の広告会社が競り合って広告を出す仕組み)が悪用されるケースもあります。
審査の甘い悪質な業者が紛れ込んで、「いつものバナー」に偽装して不正なリンクを差し込む事例が報告されてます。めんどくさいときはヘッダービディング使わない時もありますけど、収益考えると使いたくなっちゃいますよね…。
③サイト内の他のパーツも狙われる
広告以外にも、SNSのシェアボタンとかアクセス解析ツールとか、外部から読み込んでるパーツありませんか?
アドサーバーが攻撃者によって感染させられ、正規の広告配信プロセスを通じてマルウェアが配信されます。これらパーツの提供元が攻撃を受けて、そこを起点に広告の挙動を操作するプログラムが注入されることもあるんです。
実際に私が取った4つの対策
実は私も不安になって、急いで対策を実施しました。専門家じゃない普通の運営者でもできることをやってみたので、参考にしてください!
対策①:すべてのプラグインの更新チェック
2026年1月15日~2026年1月21日に報告された脆弱性8件のうち、3件は認証を受けていないユーザー(誰でも攻撃できる)に影響を及ぼす脆弱性でした。ほとんどのハッキング被害は、プラットフォームやプラグインが本質的に安全でないからではなく、ユーザーがプラグインを適宜更新していなかったり、放置したりすることが原因で発生します。
WordPressを使ってる方は、管理画面から全プラグインの更新状況をチェックしましょう。古いままのプラグインは攻撃の入り口になっちゃいます。私は自動更新にしているので、全部最新版にアップデートされていました!
対策②:WPdoctorでサイト内をフルスキャン
これがめちゃくちゃ役に立ちました!
WPdoctorは、WordPressのシステムファイルはもちろん、プラグインファイル、アップロードフォルダなど、サーバーにアップしている全てのファイルをスキャンできます。
WPdoctorっていう国産のWordPressプラグインを入れて、サイト内のファイル全部をスキャンしてみました。WordPress内のファイルとデータベースの改ざん個所や悪意のあるコードを検出・駆除できて、改ざん位置の検出ハイライト機能で改竄されたコードをわかり易く表示してくれます。
Wpdoctorをインストールするには、プラグインを追加から、名前「WPDoctor Malware Scanner & Vulnerability Checker Lite」、作者「wordpressdr」となっているものをダウンロードしてください。こういうセキュリティソフトを狙って違う作者で全く同名のマルウェアを仕込もうとする輩がいるのでご注意を。
対策③:検索窓に入力された文字列のチェック
ユーザーが入力できる検索バーや入力フォームがある場合には、特定の文字をエスケープ処理する必要があります。
サイトに検索機能がある場合、そこから「SQLインジェクション」っていう攻撃を受ける可能性があるんです。ログイン画面や検索ボックス、コメント欄など、ユーザーが入力するフォームがある場合は、特に気をつける必要があります。
私は検索窓に変な文字列(例えば「' OR '1'='1」みたいなやつ)を入れてみて、ちゃんと弾かれるかテストしました。もしエラーが出なかったら、セキュリティプラグインの導入を検討したほうがいいです。
実は、ここに着目するきっかけとなったのは、第三者によるPHPコマンドが検索窓に入力されていたからなんですね。恐ろしい。
対策④:レンタルサーバーのWAF設定をオンに
これが一番簡単で効果的だったかも!
WAF(Webアプリケーションファイアウォール)は、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護することが可能です。
私のレンタルサーバーを確認したら、なんとWAFの設定がオフになってました…。これをオンにするだけで、SQLインジェクション、XSSなどの攻撃を防ぐことができます。
サーバーの管理画面から「セキュリティ」や「WAF設定」って項目を探して、オンに切り替えるだけです。大体のレンタルサーバーには無料で付いてるはずなので、確認してみてください!
【読者向け】みなさんができる追加対策
サイト運営者だけじゃなく、サイトを見る側のみなさんも対策することで、マルバタイジングの被害を減らせます!
対策①:ブラウザを常に最新バージョンに保つ
Googleは現地時間2026年2月12日、同社ブラウザ「Chrome」のセキュリティアップデートをリリースしました。13日には緊急アップデートもされています(2月15日現在、最新バージョンは145.0.7632.76です)。Chromeの頻繁なアップデートは、少しでも早く脆弱性を解消したいという、開発側の意思の表れでもあります。
Chrome、Edge、Safari、Firefoxなど、どのブラウザを使っていても、自動アップデート機能をサポートしていることを確認してください。最新のセキュリティパッチや脆弱性対策が自動で適用される機能は非常に重要です。
EdgeなどChromium系ブラウザ利用者も同様の対策が必要で、企業・家庭問わず、すべてのユーザーに今すぐの対応が必要です。
ブラウザの更新確認方法:
- Chrome:右上の三点リーダー→ヘルプ→Google Chromeについて
- Edge:右上の三点リーダー→ヘルプとフィードバック→Microsoft Edgeについて
- Safari(Mac):アップルメニュー→システム設定→一般→ソフトウェアアップデート
対策②:OS(オペレーティングシステム)を最新に保つ
Windowsを最新の状態にして使うことが一番安全であり、最大のセキュリティ対策です。
2026年2月11日、マイクロソフトが2月の月例セキュリティ更新プログラムの配信を開始しました。今月の月例パッチでは59件の脆弱性が修正されており、この中には7件のゼロデイ脆弱性の修正が含まれているため、早急な対処が必要です。
セキュリティ更新は通常自動で行われます。Windows Updateを通じて、セキュリティ更新プログラムや重要な更新が自動的にダウンロードされインストールされます。
OS更新の確認方法:
- Windows 11:スタートボタン→設定→Windows Update→更新プログラムのチェック
- Windows 10:スタートボタン→設定→更新とセキュリティ→Windows Update
- Mac:アップルメニュー→システム設定→一般→ソフトウェアアップデート
- Android:毎月提供されるセキュリティアップデートがあり、名前が示すように脆弱性の修正など、安全性確保のセキュリティアップデートが提供されます
メリット・デメリット:対策のバランスを考える
メリット
- プラグイン更新:既知の脆弱性を塞げる(無料)
- WPdoctorスキャン:サイト内の不正ファイルを発見・削除できる(無料)
- 検索窓チェック:データベース攻撃を防げる
- WAF設定:多種多様な攻撃をまとめてブロックできる(大体無料)
デメリット
- 広告配信網の複雑さ:完全に防ぐのは難しい(経路が多すぎる)
- リソースの負担:セキュリティ対策に時間と手間がかかる
- WAFの誤検知:厳しすぎると正常な操作まで止めちゃう可能性あり
- スキャン時間:システムファイルが4,000近くあるので時間がかかる場合がある
その他にできる追加対策
ads.txt(アズテキスト)をちゃんと設定
ads.txtを正しく設定すると、自分が許可した認定販売者以外の広告が自サイトで売られないように制限をかけられます。これでなりすまし業者が入り込む隙を減らせます。
最近、「adstir」という広告サイトのads.txtを追加したので、それが原因だったかも知れません⋯。
CSP(コンテンツセキュリティポリシー)の導入
Content Security Policy(CSP)は、どのリソースとスクリプトの読み込みと実行を許可するかを制限することで、Webページを保護する手段です。
自サイトが許可したドメイン以外への勝手なリダイレクトや、不審なプログラムの実行をブラウザ側で阻止できるようになります。ちょっと設定が難しいんですけど、効果は大きいです。
最後に
運営者も被害者です。
感染経路と見なされることで、掲載サイト自体がユーザーからの信頼を失うのもマルバタイジングの大きな問題点です。
サイト運営者の方も、訪問者と同じく「システムの信頼を悪用された被害者」なんです。でも、訪問者からは「このサイトは危ない」って思われちゃうリスクがあります。
「いつもと同じ」だからこそ恐ろしい、広告インフラの脆弱性。
運営者としてできることは、プラグインを最新に保って、Wpdoctorで定期的にスキャンして、検索窓の安全性をチェックして、WAF設定をオンにして⋯っていう基本的な対策を積み重ねることです。
読者のみなさんができることは、ブラウザとOSを常に最新に保つこと。最低でも1週間に2~3時間連続でインターネットに接続されている時間があればマイクロソフトが配信する更新プログラムをもれなくインストールしていくことができます。
完璧は無理でも、できることからコツコツやっていきましょう!私も引き続き、「ここのサイト管理はずさんだな」って思われないよう、気を引き締めて監視していきたいと思います。
最後までご拝読いただき、誠にありがとうございました。
ではでは。
コメント