よく利用される検索語句(キーワード)で通販詐欺サイト等を検索結果の目立つ場所に掲載させ、検索エンジン経由で来訪してくる利用者のプライバシー情報や金銭を搾取しようとする攻撃手法「SEOポイズニング」(SEO Poisoning)が増加している。今回は、2月初旬から本日(同5日)までで観測されている手口について紹介する。
※ おことわり:既に各社に連絡したうえ、Google へもフィッシング報告済
cf. SEOポイズニング攻撃の増加に注意 (IPA, 2011)
北欧のWebサイトに不正侵入、偽通販サイトを設置
直近の1週間で確認されている手口は、.dk(デンマーク)、.no(ノルウェー)、.se(スウェーデン)といった北欧諸国のドメインを中心に利用したブラックハットSEO。例えば、「ベビーカー $ブランド$」(例:ベビーカー コンビ など。ブランドの部分は アップリカ、グレコ、コサット、リッチェルなどに置き換えても確認可)といったキーワードで検索すると、オーガニック検索結果の2ページ目(11件目~20件目)は、10件のうち半数程度が先述したいずれかの北欧各国のドメイン(あるいは .com や .co.uk など)を使った不審なウェブページがヒットする。
いずれのリンク先も、(1) 特定商取引に関する法律に基づく表示がない、(2) hotmail や yahoo、gmail などフリーメールアドレスが連絡先、(3) 日本語が怪しい、(4) サイト内のいずれかのリンクをクリックすると全く違うドメインに移動する、(5) 作成日は直近5日間、(6) ソースコードを難読化している、(7) ソースコードの最後に cnzz.com(中国のサイト) へのリンクが記述されている、(8) タイトル要素と h1 要素にキーワードを詰め込んでいる、といった共通点がある。とりわけ、会社概要ページに記載されている店舗運営責任者等の欄の日本人の姓名が逆に記述されていることが共通の目印だ。
不正サイトが設置されたディレクトリの多くが /css/ /log/ /default/ /links/ /forum/ といった別の機能や用途で用意されていたであろうフォルダ名になっており、攻撃者が脆弱性のあるWebサイトに不正侵入し、通販詐欺サイトへ誘導するためのサイトを設置したものと考えられる。
cf. [事例] クラッキング&スパムSEOによる検索結果占拠(キーワード:ティファニー 婚約指輪)
正規の通販サイトをコピーしたサイトが上位表示されているケースも
Webサイトに不正侵入されてSEOポイズニング用のファイルを設置されたという点で先日紹介したWordPress の脆弱性を突いたスパムSEOと類似する点もあるが、今回はバックリンク供給ではなく偽通販サイトそのものを設置して、その(不正侵入に成功した)Webサイトへの誘導そのものを目的としている点で違いがある。
また、今回は正規の通販サイトのコンテンツを丸ごとコピーした、本物そっくりのサイトを作り出し、それを正規サイトよりも検索上位に表示させているケースも確認した。つい先日、抱っこひもの偽造品が横行しているとしてニュース等でも取り上げられていた「エルゴベビー」関連のキーワードで、千葉県の通販会社のブランドロゴを含めて丸ごとコピーしたサイトが数多くのミドル~テールキーワード(2~5個の言葉を含むキーワード)で本家よりも上位に表示されている。
偽通販サイトはサイトロゴや会社名や住所までそのままコピーしつつ、連絡先のみ電話番号を削除した上で hotmail のメールアドレスに書き換えていた。また、会社概要は別のものが用意されていたが、日本人の名前の姓名が逆に記述されているなど不審な点が確認された。ドメインも見間違えるように文字列を似せていた。
オーガニック検索結果の目視確認を
今回は「ベビーカー」に絞って取り上げているが、他の用品名やアイテム、ブランドでも同様の状況になっている。Googleオートコンプリートや Yahoo!関連検索で表示されているキーワードでも比較的容易に偽の通販サイトに到達できることも確認している(例 キーワード「ベビーカー人気ランキング」、11件目~20件目内に5件の偽サイトあり、2015年2月6日時点)。
通販サイト運営者は利用者に正規サイトのURLを確認してもらうよう注意喚起するなどの対策のほか、時々、特に売上げが増えてきたら(=利用者が増えてきたら)第三者にコピーされている可能性があることを考えて自身でも確認してみると良いだろう。
ヘッダーデザインなどを不正に流用している通販サイトは、画像を使って Google 検索をする※と、デザイン流用している通販サイトを探し出せる。また、ブランドキーワードとアイテムの掛け合わせが通販利用者狙いのSEOポイズニングのターゲットになっているので、単に検索順位調査ツールなどによるレポート画面での数字(≒順位)を負うのではなく、実際の検索結果画面を目視で見て、上下にどんなサイトが表示されているかを確認する習慣をつけるのも良いだろう。今回確認したところ、ブランドキーワードを含む検索キーワードで、自社サイトよりも偽の通販サイトが上位に表示されてしまっているケースをいくつも確認できた。
※ キーワード(検索語句)ではなく、画像ファイルで検索する機能。Google画像検索で、検索窓に検索したい画像ファイルをドラッグする。Chrome ならブラウザ上で検索したい画像で右クリック→この画像を Google で検索 を選択
フィッシングサイトの通報先
SEOポイズニングは検索エンジンをチャネルとしてユーザーを不正サイトに誘い混む手口なので、その検索結果から問題のサイトを削除してしまえば被害を減らすことができる。Google はフィッシングサイトの通報窓口があるが、もしコンテンツが丸ごとコピーされているのであればデジタルミレニアム著作権法(DMCA)の申立をして著作権侵害の指摘で検索結果から削除させる方法もある。
フィッシングを Google に報告する
https://support.google.com/toolbar/answer/35282?hl=ja
フィッシング攻撃への対策と報告
https://support.google.com/websearch/answer/106318?hl=ja
Google DMCA(デジタルミレニアム著作権法)
https://support.google.com/legal/answer/1120734
フィッシング対策協議会
https://www.antiphishing.jp/
JPCERT/CC
https://www.jpcert.or.jp/
