- ホーム
- ブログ
- ツールとプラットフォーム
- AdsPowerのセキュリティリスク:470万ドルの情報漏洩と公式プラットフォームが重要な理由
AdsPowerのセキュリティリスク:470万ドルの情報漏洩と公式プラットフォームが重要な理由
Davide Ferraro
エージェンシー・オペレーションズリード
2025年1月、最も広く使用されているアンチディテクトブラウザの一つであるAdsPowerが、約470万ドルの暗号通貨資金の盗難につながるセキュリティ侵害を受けました。この攻撃は、ブルートフォースによるハッキングでもフィッシングキャンペーンでもありませんでした。それはサプライチェーンの侵害でした。ブラウザ自身の拡張機能アップデートメカニズムを通じて悪意のあるコードが注入され、ユーザーの操作を一切必要とせずに、プロファイルから認証情報をひそかに抽出したのです。
この事件が重要なのは、ソフトウェアにおいてセキュリティ侵害が珍しいからではありません。決して珍しいことではありません。重要なのは、この事件がアンチディテクトブラウザモデルそのものに内在する根本的な脆弱性を露呈したからです。この侵害を可能にした攻撃ベクトルは、パッチを当てられるバグではありません。それらはアンチディテクトブラウザの動作方法における構造的な特徴なのです。
本記事では、何が起きたのかについての詳細な技術分析、なぜアンチディテクトブラウザがこの種の攻撃に特に脆弱なのか、Meta広告主にとってのより広範なセキュリティ上の影響、そしてWevionのような公式APIプラットフォームがこれらのリスクカテゴリをいかに完全に排除するのかを解説します。
アンチディテクトブラウザとAPIベースのツールのより広範な比較については、包括的な分析をご覧ください。
何が起きたか:2025年1月の情報漏洩
出来事のタイムライン
攻撃は2025年1月に展開しました。AdsPowerのユーザーが、ブラウザプロファイルを通じてアクセス可能な暗号通貨ウォレットからの不正な取引を報告し始めたのです。パターンは一貫していました。AdsPowerプロファイル内に暗号通貨ウォレット拡張機能(MetaMask、Phantom、Coinbase Walletなど)をインストールしていたユーザーが、許可なく資金が送金されていたことに気づいたのです。
攻撃メカニズム
調査により、この攻撃がAdsPowerのブラウザ拡張機能アップデートパイプラインを標的としたサプライチェーンの侵害であったことが明らかになりました:
-
初期侵害:攻撃者は、拡張機能のアップデート配布を担当するAdsPowerの内部システムへのアクセスを獲得しました。初期アクセスの正確な手法は公表されていません。
-
悪意のあるペイロードの注入:攻撃者は、正規に見える拡張機能のアップデート内に悪意のあるJavaScriptコードを埋め込みました。このコードはステルス性を持つよう設計されており、ブラウザや拡張機能の目に見える挙動を変えることはありませんでした。
-
自動配布:AdsPowerは、すべての最新ブラウザと同様に拡張機能のアップデートを自動的に適用するため、悪意のあるコードはユーザーの操作を一切必要とせず、すべてのアクティブなインストールに配信されました。
-
認証情報の抽出:悪意のあるコードは、特にブラウザベースの暗号通貨ウォレット拡張機能を標的としました。ウォレットの操作を監視し、以下を抽出しました:
- 秘密鍵
- シードフレーズ(ニーモニックリカバリーフレーズ)
- ウォレットのパスワード
- 取引署名データ
-
データの流出:抽出された認証情報は攻撃者が管理するサーバーに送信され、そこで暗号通貨ウォレットを空にするために使用されました。
影響
- 財務的損失:影響を受けたユーザー全体で約470万ドルの暗号通貨が盗難
- 攻撃範囲:AdsPowerプロファイルに暗号通貨ウォレット拡張機能を持つすべてのユーザーが潜在的に侵害された
- ユーザーの操作は不要:攻撃はユーザーの視点から見て完全に受動的であり、侵害されたアップデートは自動的にインストールされた
- 信頼モデルの崩壊:ユーザーはAdsPowerのアップデートメカニズムを信頼しており、それが主要な攻撃ベクトルとなった
- 長期間の露出ウィンドウ:悪意のあるコードが信頼されたアップデートを通じて配布されたため、侵害から検出までの時間が大きかった
AdsPowerの対応
AdsPowerは侵害を認め、侵害された拡張機能のアップデートを元に戻し、この事件が侵害された内部システムの結果であると述べました。同社は以下を含む追加のセキュリティ対策を実装しました:
- 拡張機能アップデートのための強化されたコード署名
- 追加のコードレビュープロセス
- アップデートパイプラインのためのより厳格なアクセス制御
これらの措置はこの事件で使用された特定の攻撃ベクトルに対処しますが、アンチディテクトブラウザモデルに固有の構造的脆弱性には対処していません。
なぜアンチディテクトブラウザは特に脆弱なのか
AdsPowerの情報漏洩は、ずさんなセキュリティ慣行によって引き起こされた孤立した事件ではありませんでした。それは、アンチディテクトブラウザの基本的なアーキテクチャに組み込まれている脆弱性を悪用したものでした。これらの構造的リスクを理解することは、自社の広告インフラのセキュリティを評価するすべての人にとって不可欠です。
1. 深いシステムアクセスの要件
アンチディテクトブラウザは、機能するために広範な権限を必要とします:
- ブラウザプロセス制御:レンダリングエンジンの変更、API呼び出しの傍受、低レベルでのブラウザ挙動の改変
- 拡張機能管理:Webページコンテンツと対話する拡張機能のインストール、アップデート、制御
- ネットワークレイヤーアクセス:プロキシ経由のトラフィックルーティング、プロファイルごとの接続管理
- ファイルシステムアクセス:プロファイルデータ、フィンガープリント設定、キャッシュされた認証情報の読み書き
- ハードウェアAPIアクセス:ハードウェア照会API(WebGL、Canvas、Audioなど)からの応答の変更
この広範なアクセスはバグや見落としではありません。フィンガープリントスプーフィングの中核機能のために必要なのです。しかしそれは同時に、アンチディテクトブラウザのいかなる侵害も、攻撃者にこれらすべての機能へのアクセスを与えることを意味します。
ここで作用するセキュリティ原則:システムが必要とする権限が多いほど、その攻撃対象領域は大きくなります。アンチディテクトブラウザはほぼ完全なブラウザレベルのアクセスを必要とし、最大の攻撃対象領域を生み出します。
2. 拡張機能エコシステムのリスク
アンチディテクトブラウザはブラウザ拡張機能をサポートしており、多くのユーザーがワークフローのために拡張機能(広告管理ツール、暗号通貨ウォレット、パスワードマネージャー、生産性ツール)に依存しています。これは複数のリスクベクトルを生み出します:
- 拡張機能間アクセス:同じブラウザプロファイル内の拡張機能は互いに対話できます。侵害された拡張機能は他の拡張機能からデータを読み取れます。
- ページコンテンツアクセス:適切な権限を持つ拡張機能は、フォームデータ、セッショントークン、認証Cookieを含むWebページコンテンツを読み取り、変更できます。
- バックグラウンドプロセスの実行:拡張機能は、ブラウザが開いている限り持続するバックグラウンドプロセスを実行でき、持続的なデータ収集を可能にします。
- アップデートメカニズムへの信頼:拡張機能のアップデートは自動的に適用されます。アップデートメカニズムが侵害された場合 — AdsPowerで起きたように — すべてのインストールが悪意のあるコードを受け取ります。
重要な洞察:AdsPowerの情報漏洩は、従来の意味でのブラウザの脆弱性や拡張機能の脆弱性ではありませんでした。それはベンダーとユーザーの拡張機能の間の信頼チェーンの侵害でした。自動更新メカニズムを持つすべてのアンチディテクトブラウザは、これと同じ構造的リスクを抱えています。
3. 認証情報の保存モデル
アンチディテクトブラウザは、永続的なセッションを維持する方法として、ログイン認証情報をブラウザプロファイル内に保存します:
- 保存されたパスワード:ユーザーは利便性のためにプラットフォームの認証情報を保存し、繰り返しのログインを回避します
- セッションCookie:アクティブなセッショントークンはプロファイルデータに保存され、再起動をまたいでログイン状態を維持します
- 認証トークン:拡張機能やWebサイトによって保存されるOAuthトークン、APIキー、その他の認証情報
- 決済情報:ブラウザの自動入力システムによって保存されるクレジットカードデータ、請求先住所、決済トークン
この一元化された認証情報の保存は、価値の高い標的です。一度の侵害で、あらゆるプラットフォームにまたがって、あらゆるプロファイルに保存されたあらゆる認証情報が露出します。
OAuthベースのツールとの対比:OAuthモデルでは、サードパーティツールはユーザーのパスワードを一切受け取ったり保存したりしません。ツールが侵害されても、攻撃者が得るのは取り消し可能な限定スコープのトークンであり、実際の認証情報ではありません。
4. プロキシレイヤーのリスク
アンチディテクトブラウザはプロキシプロバイダー経由でトラフィックをルーティングし、信頼チェーンにもう一つのエンティティを追加します:
- トラフィックの傍受:ほとんどのプロキシトラフィックは暗号化されていますが、プロキシプロバイダーはDNS解決を処理し、暗号化されていないトラフィックを傍受できる可能性があります
- プロキシ認証情報の侵害:プロキシの認証情報がブラウザプロファイルと一緒に保存されている場合、ブラウザの侵害はプロキシアクセスも侵害します
- 共有インフラ:多くのユーザーが同じプロキシプロバイダーを共有しており、攻撃者にとって一元化された標的を生み出します
5. 自動更新メカニズム
アンチディテクトブラウザがフィンガープリントスプーフィングを効果的に保つまさにそのメカニズム — プラットフォームの検出変更に応じる自動アップデート — は、悪意のあるコードが配布されうるメカニズムでもあります。これはアップデートの仕組みを根本的に変えなければ解決できない問題です:
- 信頼モデル:ユーザーはベンダーからのすべてのアップデートが正規のものであると信頼しなければなりません
- ユーザーによる検証なし:アップデートはユーザーの確認なしに自動的に適用されます
- グローバルな配布:単一の侵害されたアップデートがすべてのインストールに同時に到達します
- ステルス能力:悪意のあるコードは正規のフィンガープリントアップデートのように見えるよう設計できます
Meta広告主にとってのより広範なセキュリティ上の影響
AdsPowerの情報漏洩は暗号通貨ウォレットを標的としましたが、同じ攻撃メカニズムは、Meta広告データを含め、ブラウザプロファイルを通じてアクセス可能なあらゆるデータを標的にできた可能性があります。
アンチディテクトブラウザプロファイルで何がリスクにさらされるか
アンチディテクトブラウザを使用するMeta広告主にとって、以下のデータが通常ブラウザプロファイルに保存されています:
| データ種別 | リスクレベル | 漏洩時の影響 |
|---|---|---|
| Facebookセッショントークン | 重大 | パスワードなしでのアカウントへの完全アクセス |
| Business Managerアクセス | 重大 | 管理下の全広告アカウントへのアクセス |
| 広告アカウントの決済方法 | 重大 | 不正な広告支出、金銭的窃盗 |
| キャンペーンデータと戦略 | 高 | 競合情報の露出 |
| オーディエンスとターゲティングデータ | 高 | 独自のターゲティングデータの露出 |
| クリエイティブアセット | 中 | 知的財産の窃盗 |
| 個人ログイン認証情報 | 重大 | 完全な身元侵害 |
| クライアントデータ(代理店向け) | 重大 | クライアント関係および法的責任 |
カスケード効果
アンチディテクトブラウザの単一の侵害は、複数のシステムにカスケードする可能性があります:
- Facebookセッショントークンの侵害 → 攻撃者は広告アカウントへの完全なアクセスを得る
- Business Managerアクセスの侵害 → 攻撃者は関連するすべての広告アカウント、ページ、決済方法にアクセスできる
- 決済方法の侵害 → 攻撃者は不正な広告を実行し、被害者の資金を使うことができる
- クライアントアカウントの侵害(代理店) → 侵害は代理店だけでなく、侵害されたプロファイルを通じて管理されるすべてのクライアントに影響する
- 個人アカウントの侵害 → 個人のFacebookアカウントが同じプロファイルにログインしている場合、個人データも露出する
これは理論上のシナリオではありません。AdsPowerの情報漏洩で実証された攻撃メカニズムの論理的な延長です — もし悪意のあるコードが暗号通貨ウォレットの代わりにFacebookセッショントークンを標的としていたら、Meta広告主への影響はさらに壊滅的なものになっていた可能性があります。
公式APIプラットフォームはどう異なるか
アンチディテクトブラウザと公式APIプラットフォームの間の根本的なセキュリティの違いは、漸進的なものではなくアーキテクチャ上のものです。
OAuthセキュリティモデル
Wevionのような公式プラットフォームは、OAuthを通じてMetaに接続します。これは次のように機能します:
- ユーザーはMetaに直接認証する:facebook.comにログインします — サードパーティツールはあなたのパスワードを一切見ません
- Metaが限定トークンを発行する:トークンは特定の限定された権限(広告管理、レポート読み取りなど)を持ちます
- トークンは取り消し可能:Metaの設定からいつでもトークンを取り消すことができ、ツールのアクセスを即座に遮断します
- トークンにパスワードは含まれない:トークンが盗まれても、攻撃者はあなたのパスワードを変更したり他のプラットフォームにアクセスしたりできません
- Metaがトークンの使用を監視する:異常なトークンアクティビティはMetaのセキュリティシステムを作動させます
保存されないもの
OAuthベースのプラットフォームでは:
- パスワードは保存されない:プラットフォームはあなたのMetaパスワードを一切受け取りません
- セッションCookieはない:ハイジャックされるブラウザセッションが存在しません
- ブラウザ拡張機能はない:侵害される拡張機能エコシステムが存在しません
- ローカルの認証情報保存はない:認証情報はプラットフォームのサーバー上の暗号化されたトークンとしてのみ存在します
- プロキシレイヤーはない:トラフィックはプラットフォームのサーバーとMetaのAPIの間を直接移動します
セキュリティ比較表
| セキュリティの側面 | アンチディテクトブラウザ(例:AdsPower) | 公式APIプラットフォーム(例:Wevion) |
|---|---|---|
| パスワード保存 | ブラウザプロファイルに保存 | 保存されない(OAuth) |
| 攻撃対象領域 | 大(ブラウザ + 拡張機能 + プロキシ + アップデート) | 小(APIサーバー + 暗号化トークン) |
| サプライチェーンリスク | 高(自動更新メカニズム) | 低(クライアント側のコード配布なし) |
| 認証情報のスコープ | プラットフォームへの完全アクセス | 限定された特定の権限 |
| 取り消し可能性 | すべてのプロファイルでパスワードを変更する必要がある | Metaの設定からトークンを即座に取り消し |
| 侵害時の影響 | 保存されたすべての認証情報が露出 | 限定スコープのトークンのみ |
| 拡張機能リスク | 拡張機能エコシステム全体が露出 | 拡張機能は一切関与しない |
| プロキシリスク | サードパーティプロキシ経由でトラフィックをルーティング | サーバー間の直接API通信 |
| マルチプラットフォーム露出 | 一度の侵害ですべてのプラットフォームが露出 | Metaトークンのみが影響を受ける |
| 監査証跡 | 限定的またはなし | 完全なアクションログ |
Wevionのセキュリティアーキテクチャ
Wevionは、AdsPowerの情報漏洩で悪用された攻撃ベクトルを排除するセキュリティモデルで設計されています:
認証情報を保存しない
WevionはあなたのMetaパスワードを保存、送信、またはアクセスすることが一切ありません。認証は完全にMetaのOAuthフローを通じて行われます。Wevionは、あなたが承認した特定の権限を持つ、MetaがWevionに発行するOAuthトークンのみを受け取ります。
ブラウザ拡張機能がない
WevionはWebアプリケーションです — ブラウザ拡張機能も、ローカルインストールも、侵害されうる自動更新メカニズムもありません。インターフェースは標準のブラウザで動作し、バックエンドはMetaのAPIとサーバー間で通信します。
プロキシレイヤーがない
WevionとMetaの間のすべての通信は、HTTPS経由で公式Marketing APIを通じて行われます。プロキシインフラも、サードパーティ経由のトラフィックルーティングも、侵害されうる追加のネットワークレイヤーもありません。
暗号化されたトークン保存
OAuthトークンはWevionのサーバー上で保存時に暗号化されています。サーバー侵害が発生した場合でも、トークンは平文で保存されていません。
ロールベースのアクセス制御
Wevionの6段階のRBACシステムは、チームメンバーがその役割に必要な権限のみを持つことを保証します。メディアバイヤーの認証情報は請求データにアクセスできません。閲覧者はキャンペーンを変更できません。これにより、個々の認証情報が侵害された場合の影響範囲が制限されます。
監査証跡
Wevionを通じて取られたすべてのアクションは、ユーザー属性、タイムスタンプ、影響を受けるリソースとともにログに記録されます。これにより説明責任が提供され、異常なアクティビティが検出された場合の迅速なインシデント対応が可能になります。
トークンの取り消し可能性
セキュリティ上の問題を疑う場合は、Metaの設定からいつでもWevionのOAuthトークンを取り消すことができます。これにより、あなたのMetaアカウント、パスワード、その他の接続済みサービスに影響を与えることなく、Wevionのアクセスが即座に削除されます。
実践的なセキュリティ推奨事項
アンチディテクトブラウザを使い続けるにせよ、APIベースのプラットフォームに切り替えるにせよ、これらの慣行はリスク露出を軽減します:
アンチディテクトブラウザユーザー向け
- 価値の高い認証情報をブラウザプロファイルに保存しない:金融アカウント、決済システム、暗号通貨ウォレットのパスワードをアンチディテクトブラウザのプロファイルに保存しないでください
- すべてのプラットフォームで2FAを有効化する:セッショントークンが盗まれても、2FAは突破しなければならないレイヤーを追加します
- 広告とクリプトで別々のプロファイルを使用する:広告アカウントのプロファイルと暗号通貨ウォレットのプロファイルを混在させないでください
- 異常なアクティビティを監視する:広告アカウント、決済方法、接続済みアプリを定期的に確認してください
- 拡張機能のインストールを制限する:アンチディテクトプロファイルには必須の拡張機能のみをインストールしてください — 各拡張機能は攻撃対象領域を拡大します
- 慎重にアップデートする:自動更新を遅らせ、適用前にチェンジログを確認することを検討してください
APIベースのプラットフォームユーザー向け
- OAuth権限を定期的に確認する:接続済みツールが必要な権限のみを持つことを確認してください
- 未使用のツールのトークンを取り消す:ツールの使用を停止した場合、Metaの設定からそのOAuthトークンを取り消してください
- RBACを適切に使用する:チームメンバーに最小限必要な権限を割り当ててください
- 監査証跡を監視する:異常なアクティビティがないか定期的にアクションログを確認してください
- Metaアカウントで2FAを有効化する:これによりOAuthトークンを発行するマスターアカウントが保護されます
すべてのメディアバイヤー向け
- 広告インフラを個人アカウントから分離する:個人用と業務用の広告で同じ認証情報やデバイスを使用しないでください
- ユニークで強力なパスワードを使用する:パスワードマネージャーは、ブラウザプロファイルに保存することなく、強力なパスワードを生成・保存します
- 決済方法を監視する:広告アカウントに接続されたカードの異常な請求に対するアラートを設定してください
- セキュリティ体制を文書化する:どのツールがあなたのアカウントにアクセスでき、どの権限を保有しているかを把握してください
構造的な論点
AdsPowerの情報漏洩は、AdsPowerを特に避けるべき理由ではありません — それは、価値の高い広告アカウントを管理するためのアンチディテクトブラウザのアプローチを再考すべき理由です。2025年1月に悪用された攻撃ベクトルは構造的なものです:
- 深いシステムアクセス → フィンガープリントスプーフィングに必要 → 除去できない
- 拡張機能エコシステム → ワークフロー機能に必要 → 完全には保護できない
- 認証情報の保存 → 永続的なセッションに必要 → 一元化された標的を生み出す
- 自動更新メカニズム → 検出を先回りするために必要 → サプライチェーンリスクを生み出す
これらはバグではありません。アンチディテクトブラウザのアーキテクチャ上の要件です。これらの機能をめぐるセキュリティ慣行を改善することはリスクを軽減しますが、それを排除することはできません。
公式APIプラットフォームは、これらの攻撃ベクトルがいずれも存在しない根本的に異なるアーキテクチャで動作します。トレードオフはプラットフォームの特定性です — Wevionは Metaでのみ機能する一方、アンチディテクトブラウザはあらゆるプラットフォームで機能します — しかし、主な関心事がMeta広告である広告主にとって、APIアプローチのセキュリティ上の優位性は大きく、そして拡大し続けています。
まとめ
2025年1月のAdsPowerの情報漏洩は重大なセキュリティイベントでしたが、その重要性は盗まれた470万ドルの資金を超えています。それは、アンチディテクトブラウザのアーキテクチャモデルが、APIベースの代替手段には存在しない攻撃ベクトルを生み出すことを具体的に示しました。
多額の広告費を管理するMeta広告主にとっての問いは、アンチディテクトブラウザをより安全にできるかどうか — 漸進的にはできます — ではなく、サードパーティのブラウザに認証情報を保存するという根本的なアプローチが、1日あたり数千ドルから数万ドルを超える可能性のある広告予算を管理するための正しいセキュリティモデルなのかどうかです。
Wevionのような公式APIプラットフォームは、あなたの認証情報が一切保存されず、認証がMeta自身のOAuthシステムを通じて行われ、攻撃対象領域が特定の取り消し可能な権限を持つ暗号化トークンに限定されるセキュリティモデルで動作します。これがすべてのユースケースにとって本質的に優れているわけではありません — マルチプラットフォームのブラウザ分離が必要な場合、アンチディテクトブラウザが唯一の選択肢のままです。しかし、特にMeta広告に関しては、APIベースのツールを支持するセキュリティ上の論拠はかつてないほど強力になっています。
Wevionの14日間無料トライアルを開始して、あなた自身のアカウントでプラットフォームのセキュリティモデルを評価してください。クレジットカード不要、認証情報の保存なし、実行中のキャンペーンへのリスクなしです。
関連記事
よくあるご質問
The Ad Signal
推測を拒否するメディアバイヤーのための週刊インサイト。1通のメール。シグナルのみ。
関連記事
Meta広告向けAdsPower代替:公式APIアクセス・BANリスクゼロ
AdsPowerの470万ドル規模の情報漏洩とMetaの検知精度向上を受け、メディアバイヤーは より安全な代替を探しています。本比較では、ユーザーがAdsPowerを離れる理由、代替ツールに 求めるべき要件、そしてWevionが公式Meta Marketing APIを通じて同等のマルチアカウント 管理をどう実現するかを解説します。
Wevion対アンチディテクトブラウザ:Meta広告スケールに両方必要な理由
Antidetect burauza to Wevion wa koukoku sutakku no kotonaru reiyaa de kotonaru mondai wo kaiketsu shimasu. Kono gaido wa ni-sou fureimuwaaku, ryouhou ga hitsuyou na baai, Wevion dake de juubun na baai wo setsumei shimasu.
2026年にMeta Adsでアンチディテクトブラウザの使用をやめるべき理由
アンチディテクトブラウザは、Metaがフィンガープリントベースの検知に依存していた時代(2018-2022年)には実際の問題を解決していました。しかしMetaはML(機械学習)ベースの行動分析へ移行し、フィンガープリントの偽装はますます効果を失っています。上昇するコスト、セキュリティリスク(AdsPowerの470万ドル侵害)、運用負荷と相まって、アンチディテクトブラウザは今や本格的なMeta広告主にとってリスクとなりました。本記事ではこの構造的な転換と、代わりに使うべき手段を検証します。