アカマイ・テクノロジーズは1月14日、SQLインジェクションを利用して標的Webサイトを攻撃し、検索エンジン最適化(SEO)に影響を与えるキャンペーンを確認したと発表した。攻撃を受けたWebサイトは隠されたHTMLリンクを配信し、検索エンジンボットを混乱させてページのランキングに誤った影響を与えるという。
同社のThreat Research(脅威研究)部門が2015年第3四半期の2週間、Akamai Intelligent Platformから集められたデータを分析し、3,800以上のウェブサイトに対する攻撃および様々な活動に参加した348のユニークIPアドレスを観測して、以下の状況が明らかとなった。
(1)大規模改ざんの証拠。このキャンペーンの一部として利用されたHTMLリンクをインターネットで検索したところ、これらの悪質なリンクを含んでいる数百のWebアプリケーションが確認された。
(2)攻撃による検索エンジンの検索結果の操作。「cheat」や「story」等の一般的な単語の組合せを検索したところ、主要な検索エンジンの1ページ目に「cheating stories」アプリケーションが表示されることが明らかになった。
(3)分析で示された攻撃の影響。Threat ResearchはAlexaの分析から、「cheating stories」アプリケーションのランクが3か月間で大幅に上昇していることが確認された。
検索エンジンは、特定のアルゴリズムを使用してページのランキングおよびWebサイトに対するインデックス付けを決定し、そのWebアプリケーションを指し示すリンクの数と評価がこれらのランキングに影響を与える。SEO攻撃者は「Cheating(不正)とInfidelity(背信行為)のストーリー」サイトに向けた外部リンクのチェーンを生成し、通常のWebコンテンツを装って検索エンジンのアルゴリズムに影響を与えたという。
「ページのランキングを操作できるというのは、攻撃者にとって魅力的な提案でありビジネスです。攻撃に成功すれば、インターネットを使用する多くの組織や企業の収益と、さらに重要な点として、評判に影響を与えることができます」と、アカマイ セキュリティビジネス部門シニア・バイスプレジデント兼ゼネラル・マネージャーのスチュアート・スコリー氏は語る。
アカマイでは、軽減策についても言及。この活動で使用された攻撃は、検索エンジンの動作について深く理解していることを示しており、従って以下の防衛手法を推奨するとしている。
Webアプリケーションの開発者向けには、バックエンド・データベースへのクエリの中で使用するすべてのユーザ入力データに対して適切な入力検証チェックが実装済みであることを確認する。
ユーザの入力データに基づいてSQLクエリを作成する場合は、パラメータのみ入力可能な事前に用意されたステートメントのみを使用する。
Webアプリケーションの防御担当者向けには、SQLインジェクション攻撃をブロックするモードに設定されたWebアプリケーションファイアウォールを配備する。また、Webリンク数の増加などの大きな変化の識別に役立てるため、HTMLレスポンス本文フォーマットのプロファイリングと監視を検討する。
アカマイは、現在も継続中のSQLインジェクション手法を使用したSEO攻撃活動を、引き続き監視する意向。詳細については、無料でダウンロードできる脅威に関する報告書で解説している。