情報求む。iPhoneのSafariでWebページ閲覧中、getuidというファイルが表示された件

圧倒的情報不足…!

ググっても全然情報出なかったのでメモしておきます。iPhoneのSafariでWebページ閲覧中に突然リダイレクトされ、以下画像の画面が表示されました。

画面上には「getuid」という名前のファイルアイコンと「データ - 0KB」、そしておそらくこのファイルを開くためのアプリリンクである「"Dropbox"で開く」「その他…」のリンクテキストのみが表示されています。

「getuid」ということなので、普通に考えれば端末のUIDを取得するようなAPIを叩いてる感じでしょうか?どう考えても怪しいのでリンククリックはしていませんが、ひとまずURLだけ確認しておきます。

ドメインは「sync.pfrm.co」

自分はスクショだけ撮って速攻でタブ閉じてしまったためURLコピーし忘れてしまったのですが…サクッと調べて得られた情報を照らし合わせてみると「https://sync.pfrm.co/i/5/getuid?bidswitch_ssp_id=pubmatic」というURLの模様。

なんかiPhoneのSafariがおかしい。 sync.pfrm.co/i/5/getuidって感じのURLを勝手に開く..

https://sync.pfrm.co/i/5/getuid?bidswitch_ssp_id=pubmatic - iPhoneでS... - Yahoo!知恵袋

ドメインのIPアドレスを辿るとオランダのISPとなっていました。LeaseWebってところのプロバイダ使ってるみたいですね。正直これだけでは何もわからん…

海外でも報告あり

2018年の4月くらいから海外でも報告が上がっているようなので、日本国内に限った現象ではないようです。前述のファイルが表示される画面も英語版のスクショを見かけたので間違いないでしょう。

(iOS) Odd link pops up when I try to log into deviantart. : techsupport

また、Twitter上でも問題のURLを複数人にリプライしているアカウントがありました。

いくつかのURLチェックでは安全との情報も出ていたので、悪意のあるリンクかどうか判断しかねる感じですね。単純に広告関連の情報取得か、詐欺広告やウイルスの類なのか…現時点では何もわからずという結論です。

特定サイトで100%再現?

僕の環境で発生したのは、個人運営と思われるサイトでスマホ関連の情報ページをスクロール中にリダイレクトされたので、何かしらの広告をフックとしているものと推測しています。

ところがTwitter上にて、特定サイトで100%再現するというツイートを見かけました。こちらの方はpixivを開くと100%飛ばされるとのこと。動画を見ると確かにリダイレクトされていますね。

今のところ手元ではiPhoneのSafariでのみ確認できた現象です。引き続き警戒しておきますが、AndroidスマホやPC等で同一の現象を観測するなど、今後追加情報があれば記載していこうかと思います。

現場からは以上です。

  • POI

    星影さん、はじめまして。POIと申します。
    掲載していただいたツイートの後に色々と検証してみましたが、広告の付いているサイトでのみ飛ばされるようです。
    星影さんの睨んだとおり、広告の中に、勝手にページを飛ばされるスクリプトが組み込まれているものが紛れ込んでいるのではないかと考えております。
    もう少し検証をしまして、何かわかりましたらまたご報告させていただきます。

    • POIさん、検証ありがとうございます!
      続報ありましたらぜひ教えてくださいm(__)m

  • ひろろ

    はじめまして。ひろろと申します。
    私も同様の現象に見舞われ、検索してこちらのページにたどり着きました。
    iPhoneで発生があったとのことですが、
    iPad Pro、Safariの環境でも発生しましたので、ご報告いたします(iOS絡み?)。
    私も、広告が掲載されているサイトで見舞われましたので、何か関係があるのかなと思っています。

    ご参考になれば幸いです。

    • ひろろさん、コメントいただきありがとうございます!
      iPad Proでも発生したんですね。iOSと何かしらの広告との絡みかもしれませんね。