SEOポイズニングとは、検索エンジン最適化（SEO）技術を悪用して不正なサイトを検索結果の上位に表示させ、閲覧したユーザーをマルウェアに感染させたり、詐欺サイトに誘導したりするサイバー攻撃手法です。

SEOポイズニングでは、攻撃者が自らサイトを作成して上位表示させる場合もあれば、上位表示されている企業・組織のサイトを乗っ取って改ざんするケースもあります。後者の場合、企業・組織のサイトは知らない間に、サイバー攻撃の踏み台へと利用されてしまいます。

こういった被害を防ぐためにも、Webサイトを運用する企業・組織は、Web改ざんを検知できるツールの導入や多要素認証で認証を強化するといったセキュリティ対策が必要です。

本記事では、SEOポイズニングの仕組みから攻撃手口、対策方法まで詳しく解説いたします。

LANSCOPEでは、組織の現状のセキュリティ対策が十分であるか？（何が不足しているか）を簡易診断できる「サイバー攻撃対策チェックシート」をご用意しました。ぜひ今回の記事と合わせて、組織のセキュリティ対策にご活用ください。

SEOポイズニングとは

SEOポイズニングとは、検索エンジン最適化（SEO）技術を悪用したサイバー攻撃の一つです。攻撃者は不正なサイトを、Google や Bing など検索結果の上位に表示させ、ユーザーが自然な形で不正サイトをクリックするよう仕向けます。

不正サイトと気づかず閲覧すると、マルウェアに感染したり、詐欺サイトへ誘導され個人情報や金銭をだまし取られたりするリスクがあります。

SEOポイズニングの厄介な点は、ユーザーの「検索結果の上位に表示されるサイトは有益・信頼性がある」という心理を悪用していることです。特に、クリックされる可能性の高い“検索結果1ページ目の上位に表示されているサイト”に不正なサイトが表示されていた場合、多くのユーザーは何も疑わず、サイトを閲覧する危険性が高いでしょう。

またSEOポイズニングでは、攻撃者が自ら作成したサイトを上位表示させる場合もあれば、すてに上位表示されている、有名企業や組織のWebサイトを改ざんして悪用するケースもあります。企業や組織のサイトが改ざんされている場合、見た目では正規サイトとほとんど変化が無いため、アクセス後も被害が発生するまで、不正に気づくことは困難です。

なぜ不正なサイトが上位に表示されるのか（仕組み）

Google のような検索エンジンは、ユーザーに最適な検索結果を提供するために、Webサイト内の様々な要素を考慮し、表示する順位を決定します。順位を決定する具体的な要素としては、キーワードとの関連性やページの信頼性、リンクの質などが含まれます。

攻撃者は不正な手法を用いてこれらの要素を操作し、順位を決定する検索エンジンのアルゴリズムをだまして、自分のサイトを上位に表示させようとします。

これらの手法は、一般的に「ブラックハットSEO」と呼ばれています。

▼ブラックハットSEOの例

●キーワードスタッフィング
Webページ内に不自然なほど大量のキーワードを詰め込む手法。

SEOというキーワードで上位表示させたい場合、本文内に無理やり「SEO」と入れたり、ユーザーからは見えないHTMLのソースコードの中に「SEO」と入れたりする。

●クローキング
Webサイトを閲覧するユーザーとWebサイトを評価する検索エンジン側のロボットに対してそれぞれ別のページ・コンテンツを表示させる手法。

ユーザーには詐欺サイトへ誘導するコンテンツを表示し、検索エンジン側のロボットにはSEO対策を行ったコンテンツを表示させることで、検索順位の上位を狙いながら、ユーザーを詐欺サイトに誘導する。

●リンクファーム
大量のWebページを作成し、それらのページ同士で相互にリンクを貼りあうことで、人為的にリンクの数を増やし、ページの権威性を高める手法。

 

こうしたブラックハットSEOはGoogle検索エンジンのガイドラインに違反する行為であり、近年は「悪質なWebサイト」として、原則ペナルティを受ける仕様とされています。以前に比べ「ブラックハットSEO」により悪質なサイトが上位表示されるケースは減っていますが、企業は引き続きSEOポイズニングへの対策を心がける必要があります。

 

SEOポイズニングの攻撃手口

SEOポイズニングの代表的な攻撃手口としては、以下の2つがあります。

1. 上位表示させたWebサイト（あるいは既に上位表示している正規サイト）から、罠サイトにリダイレクト

一つ目は、上位表示させたWebサイト（あるいは既に上位表示している企業などのWebサイト）にプログラムを仕込み、自身が作成した詐欺サイトにリダイレクトする手口です。

詐欺サイトにリダイレクトされるまでの流れは以下の通りです。

この手口ではWebページだけでなく、検索結果の上位に表示されたリスティング広告や、PDFページを悪用する場合もあります。

2. ファイルレスマルウェアにより訪問ユーザーを感染させる

二つ目は、上位表示させたサイトにファイルレスマルウェアを仕込む手口です。

ファイルレスマルウェアとは、パソコンのOSに組み込まれた正規のツールや機能を悪用して攻撃を仕掛けるマルウェアのことです。

通常のマルウェアとは異なり、ディスクに実行ファイルを保存せず、痕跡を残さないことから、従来のアンチウイルスでは検出が困難という特徴があります。このファイルレスマルウェアを上位表示させた記事に仕込み、サイトを訪問したユーザーをマルウェアに感染させます。

ファイルレスマルウェアに感染した場合

といった被害を受けるリスクが想定されます。

 

SEOポイズニングされた詐欺サイトの特徴

SEOポイズニングされた詐欺サイトを見分ける特徴の１つに、アクセスすると別の詐欺サイトにリダイレクトされるケースがあげられます。

また以下のような特徴が見受けられた場合、詐欺サイトを疑いましょう。

詐欺サイトの作成は海外グループが関与しているケースも多く、その場合は自動翻訳ソフトを使ってページを制作しているため、不自然な日本が使われていることがあります。

また、国内の企業サイトの場合、「.com」「.jp」「.co.jp」といったドメインが多くを占めていますが、詐欺サイトの場合は「.xyz」「.live」など、馴染みのないドメインがよく見られます。

詐欺サイトの特徴や見分け方については、以下の記事で詳しく解説していますので、ぜひあわせてご覧ください。

その他「サイトにアクセスすると、デバイスのパフォーマンスが落ちる」「ポップアップが次々に出現する」などの症状があらわれた場合、すでにマルウェア感染している恐れがあるため、アンチウイルスでスキャンするなどの対応をおすすめします。

 

SEOポイズニングの被害事例

今回ご紹介するのは、攻撃者が特定のキーワードでリスティング広告枠を購入し、不正サイトを正規サイトより上位に表示させ、訪問者から個人情報を窃取した事例です。厳密にはリスティング広告を使用しているため“SEOポイズニング” とは異なりますが、類似した手法であるため紹介します。

2022年12月、大手鉄道会社が運営するWebサイトの名称で検索をかけたところ、正規のサイトと酷似した偽サイトが、検索結果の上位に表示される事件が発生しました。ユーザーがサイトにアクセスすると偽の会員ページへと遷移し、そこにIDやパスワードを入力してしまうと、認証情報を窃取されてしまうという手口でした。

偽サイトでは、「.com」ではなく「.su」など見慣れないドメインを使用していましたが、サイトのデザイン自体は正規サイトと全く同じものが用いられていたとのことです。

偽サイトを作られた当該企業では早期に検索エンジンの運営会社に「広告の取り下げ」を要請し、偽サイトの表示は取り下げられました。有名企業やサービスを名乗るサイトであっても、日本語表記やドメイン名、不自然なポップアップ広告の表示など、偽サイトの兆候に気を配るよう心がけましょう。

 

個人でできるSEOポイズニング対策

SEOポイズニングの対策は、「個人」「企業」それぞれで、日頃からセキュリティ対策を行っていくことが重要です。「個人」でできるSEOポイズニング対策としては、以下が挙げられます。

「検索結果の上位に表示されている＝信頼できる」と考えているユーザーは多いですが、実際には今回紹介したように、SEOポイズニングの脅威が潜んでいる危険性があります。怪しいドメインや不審な文字列が含まれていないか、日ごろから確認する習慣をつけましょう。

もしWebサイトにアクセスした際、突然異なるサイトに遷移した場合は、即座にブラウザを閉じるなど偽サイトから速やかに離脱してください。

こうした基本の対策に加え、OSの定期的なアップデートやアンチウイルスの導入を行うことで、SEOポイズニングの被害にあう確率を根本的に引き下げることができます。

 

企業・組織が行うべきSEOポイズニング対策

続いて「企業・組織」が行うべきSEOポイズニング対策としては、以下の4つが挙げられます。

1. Web改ざんを検知できるツールを導入する

SEOポイズニングでは、企業や組織のWebサイトを改ざんし、マルウェアやリダイレクトの仕様を仕掛ける手口がよく用いられます。企業であれば自社のWebサイトが改ざんされ、サイバー攻撃や詐欺に悪用される可能性もあるでしょう。

企業・組織が早期にWebサイトの改ざんを検知・対処するためには、Web改ざんを検知する専用のセキュリティツールを導入することが重要です。不正な変更が行われた際も運営者側で速やかに検知し、修正を行うなどの対策ができます。

2. 認証を強化する

サイト管理者のIDやパスワードが攻撃者に推測されたり、盗まれたりすることで、Webサイトが不正に改ざんされてしまう危険性があります。解決策として、従来のIDとパスワードを用いたログイン手法だけでなく、「多要素認証」などを導入して認証を強化することが有効です。

多要素認証とは、①知識情報（パスワードなど）、②所持情報（スマートフォンなど）、③生体情報（指紋など）の中から、2つ以上の要素を活用して認証を行うセキュリティ手法です。

▼多要素認証のイメージ

多要素認証を導入すれば、たとえ偽サイトを通じてIDやパスワードを不正に入手されたとしても、認証を突破されるリスクを低減できます。

3. 従業員にセキュリティ教育を行う

社外ネットワークやクラウドサービスの利用が進む今、多くの従業員が、業務で検索エンジンを使用しているでしょう。よって企業はインターネットを使用するすべての従業員に対し、セキュリティ教育にて「SEOポイズニング」のリスクや正しい対策について共有することが大切です。

具体的には

といった内容を共有する必要があるでしょう。

また「日本語やURLが不自然なサイトは閲覧しない」「安易に個人情報を入力しない」といった心がけは、フィッシング詐欺やメール攻撃といった、その他のサイバー攻撃対策にも通じるものがあります。

4． アンチウイルスやEDRを導入する

SEOポイズニングされたサイトを閲覧すると、知らない間にマルウェアに感染してしまうケースもあります。

そのため、PCやスマホへのマルウェア侵入を未然に防ぐことが可能な「アンチウイルス」、あるいは万が一マルウェアが侵入しても素早く検出し、隔離や駆除を行える「EDR」といったエンドポイントセキュリティを導入しておくことが欠かせません。

アンチウイルスとEDRは互いに補完的な役割をもち、ともに導入することで、より強固なエンドポイントセキュリティを叶えられる製品です。SEOポイズニングによるマルウェア感染から、従業員の大切な端末を保護し、インシデントの発生を防ぎます。

 

自社サイトがSEOポイズニングの被害にあった場合の対処法

万が一、自社のWebサイトがSEOポイズニングに悪用された場合、以下の対処を早期に行うようにしましょう。

まずは被害を拡大させないためにも、改ざんされたサイトを速やかに公開中止し、さらなる改ざんを防ぐためサイト管理者のIDやパスワードを変更しましょう。

あわせて、最寄りの警察署またはサイバー犯罪相談窓口に通報・相談することも忘れないようにしてください。専門機関に相談する際は、アクセスログなどの資料を持参する必要があります。

また改ざんされたWebサイトは、表面上の対処だけでなく、必ず再構築を行うようにしましょう。「見慣れないファイルを削除する」などの簡単な対処だけでは、改ざんによる影響の根絶が難しく、再びリダイレクトが機能してしまうなどのリスクがあるためです。

さらに、日ごろからあわせて行っておきたいのが、定期的なバックアップを取得することです。運営するサイトのバックアップを取っておくことで、仮に改ざんの被害にあってしまっても、データを用いてサイトを復旧することができます。

 

SEOポイズニング対策ならLANSCOPEサイバープロテクション

SEOポイズニングによるマルウェア感染対策におすすめなのが、AI機能を活用したアンチウイルス「LANSCOPE サイバープロテクション」です。新種・未知のマルウェア対策に強みを持つ、2種類のAIアンチウイルスを提供しています。

▼2種類のアンチウイルスソリューション

1． アンチウイルス✕EDR✕監視サービス（MDR）をセットで利用可能な「CylanceGUARD」

アンチウイルスはEDRと併用することで、エンドポイント内外から保護するため、より強固なエンドポイントセキュリティ体制を確立できます。 しかし、現実には「EDRによるセキュリティ監視が難しい」「リソースが足らず、手が回らない」という声も多く、アンチウイルスとEDRの併用が上手くいっていないケースが少なくありません。

そういった方におすすめしたいのが、アンチウイルスを中心に３つのサービスを提供する「Cylanceシリーズ」です。

の3つをお客様の予算やご希望条件に応じて提供します。高精度なアンチウイルス・EDRを併用できる上、セキュリティのプロが24時間365日監視を行うため、より確実にマルウェアの侵入からお客様のエンドポイントを保護します。

またアンチウイルスのみ、アンチウイルス＋EDRのみ導入するなど、柔軟なご対応も可能です。

2． 各種ファイル・端末に対策できるNGAV「Deep Instinct」

そういった方には、AIによるディープラーニング機能で、未知のマルウェアを高精度にブロックする、次世代型アンチウイルス「Deep Instinct（ディープインスティンクト）」がおすすめです。

SEOポイズニングでは、セキュリティ製品の検知を逃れるために、高度な「ファイルレスマルウェア」が使用されることがあります。 しかしファイル形式を問わず対処する「Deep Instinct」であれば、ファイルレスマルウェアも高い精度で検知・防御することが可能です。

また1台あたり月額300円（税抜）から利用できる、手ごろな価格設定も魅力です、ぜひ以下の製品ページよりご覧ください。

万一、ランサムウェアに感染したら？インシデント対応パッケージにお任せください

「マルウェアに感染してしまったかも」
「サイトに不正ログインされた痕跡がある」

このようにサイバー攻撃を受けた”事後”に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応パッケージ」の利用がおすすめです。
フォレンジック調査のスペシャリストがお客様の環境を調査し、感染状況と影響範囲を特定。ランサムウェアの封じ込めをはじめとした復旧支援に加え、今後どのように対策すべきかのアドバイスまで支援いたします。

「自社で復旧作業を行うのが難しい」「攻撃の感染経路や影響範囲の特定をプロに任せたい」というお客様は、是非ご検討ください。

 

まとめ

本記事では「SEOポイズニング」をテーマに、その概要や対策について解説しました。

SEOポイズニングは、検索エンジンという誰もが気軽に利用できるサービスを悪用する手口で、インターネットを利用するすべてのユーザーが被害に遭う可能性を持っています。セキュリティ製品や多要素認証の導入といった基本的な対策に加え、SEOポイズニングという攻撃への理解と、「検索結果の上位に表示されているから安心」という意識そのものの改革が必要でしょう。

LANSCOPEでは、組織の現状のセキュリティ対策が十分であるか？（何が不足しているか）を簡易診断できる「サイバー攻撃対策チェックシート」をご用意しました。ぜひ今回の記事と合わせて、組織のセキュリティ対策にご活用ください。