2015年1月10日前後と同1月20日前後を中心に、WordPress の脆弱性をついたSEOスパムが急増している。Google ペイデイローンアルゴリズムが想定していた、スパム汚染が酷いキーワード(洋服、靴、雑貨等のブランド、例えばグッチやエルメス、ティファニー)が本件のターゲットになっている。
WordPress の /wp-includes 等に不正なページを設置
WordPressをインストールした時に作成される3つの主要ディレクトリ、 /wp-content、 /wp-admin、/wp-includes が不正侵入を受けたのが原因で、ウェブスパムに悪用されている。今月に入って確認しているスパムは、バッグや財布などのブランド販売サイトを装った、ネット通販詐欺サイトへ検索利用者を誘導することを狙ったものだ。
例えば、『サンローラン 財布』といった、ブランドとアイテムを掛け合わせた検索キーワードなどで比較的 Google 検索上位に表示されることが確認できる。URLアドレスに wp-content や wp-includes が含まれていることが目印だ。クリックすると、(怪しい)通販サイトへリダイレクトされる。
『$キーワード$ inurl:/wp-includes』や『$キーワード inurl:/wp-content』と検索すると(例 『 ナイキ エアフォース1 inurl:/wp-content』『イルビゾンテ inurl:/wp-admin』など)、1月10日前後と同21日前後を中心にハイジャックされた多数のサイトに設置された形跡を観察できる。共通しているのは、ページの左上に青い背景で白抜き A のアイコンがついていること。リンク先は 51.la 。
Google経由のアクセスを不正サイトへ誘導
ハイジャックされたWebサイトに埋め込まれたページは、Google 検索経由でアクセスするとターゲットの通販サイトに転送されるが、そのページのURLをブラウザのアドレスバーに直打ち(コピー&ペースト)した場合は普通にページの内容を閲覧することができる。条件付きリダイレクト(Conditional Redirects)含めて内容は使い古された古典的なSEOスパムだが、設置された他の不正ページにリンクを供給することで、いずれかのページが Google検索上位に表示されるように仕掛けをしている。
ページの内容(作りこみ)はランダムで、日本の官公庁や地方自治体のヘッダーやフッターをコピペしたものも発見できた(例 青森県の公式ページのヘッダーを転載したケースなど)。
詐欺サイトそのもの(ドメイン)を検索上位に表示させることは難しいが、本手法のように既存のサイトにターゲットサイトへ誘導(転送)するページを埋め込む方法であれば、ウェブスパマーにとってそれほど難しい仕事ではない。本件のように世界中の不特定多数の不正侵入したWebサイトを組織的にスパムに活用すれば、成功率は上げることができる。
なお、リダイレクト先の通販サイトをチェックしたところ、大半は怪しい日本語、大幅な値引き販売、特定商取引法に基づく表示なし(電話番号や住所の記載なし)、責任者名がいかにもテンプレート的な名前など、詐欺の可能性が高い通販サイトだったが、一部、普通(?)の通販サイトも含まれていた。
標準インストールの日記や掲示板CGIも悪用
今回確認したSEOスパムは古いバージョンのWordPressの脆弱性をついたもののほか、一部の日本国内のホスティングサービスが標準で提供している 日記 (diary)CGI の設定に不備があるものも狙われている。該当Webサイトが利用しているサーバ会社を調査したところ特定グループに偏りがみられた。
本調査段階で発見した、WordPress や日記CGIに不正アクセスを受けた可能性のある日本国内の法人企業の一部には1月24日に直接電子メールで連絡したものの、26日正午時点でまだ対応されていない(問題のディレクトリが削除されていない)企業も少なくなかった。
商標権者は検索結果ページのレピュテーション管理に意識を
具体的なキーワードは避けるが、ブランドキーワード単体で検索した時に、1位に表示される公式サイトに混ざって(20位以内)不正サイトへ誘導するページが掲載されているケースを確認している。こうした検索結果の放置は自社のブランド棄損につながる恐れがあり、また一般利用者を適切でないページへ誘導してしまうリスク等もあるため、常に検索結果の状態を監視してブランドを保護するための取り組みを行っておきたい。
cf.
[事例] クラッキング&スパムSEOによる検索結果占拠(キーワード:ティファニー 婚約指輪)
#
Takahiro Yamamotoさんに教えていただいたのがきっかけです。ありがとうございました。
