目 次
SEOポイズニングとは、検索エンジン最適化(SEO)技術を悪用して不正なサイトを検索結果の上位に表示させ、閲覧したユーザーをマルウェアに感染させたり、詐欺サイトに誘導したりするサイバー攻撃手法です。
SEOポイズニングでは、攻撃者が自らサイトを作成して上位表示させる場合もあれば、上位表示されている企業・組織のサイトを乗っ取って改ざんするケースもあります。
後者の場合、企業・組織のサイトは知らない間に、サイバー攻撃の踏み台へと利用されてしまいます。
SEOポイズニングの被害を防ぐためにも、Webサイトを運用する企業・組織は、Web改ざんを検知できるツールの導入や多要素認証といったセキュリティ対策が必要です。
本記事では、SEOポイズニングの仕組みから攻撃手口、対策方法まで詳しく解説いたします。
▼本記事でわかること
- SEOポイズニングとは
- SEOポイズニングの攻撃手法
- SEOポイズニングの被害事例
- SEOポイズニングへの対策
- SEOポイズニングにあった場合の対処法
また、SEOポイズニングへの対策に有効な「LANSCOPEサイバープロテクション」についてもあわせて紹介します。
セキュリティ強化を目指す企業・組織の方は、ぜひご確認ください。
SEOポイズニングとは
SEOポイズニングとは、検索エンジン最適化(SEO)技術を悪用したサイバー攻撃の一つです。
攻撃者は不正なサイトを、GoogleやYahoo!、Bingなどの検索エンジンの上位に表示させ、ユーザーが自然な形で不正サイトをクリックするよう仕向けます。
不正サイトと気が付かずに閲覧してしまうと、マルウェアに感染したり、詐欺サイトへ誘導され個人情報や金銭をだまし取られたりするリスクがあります。
SEOポイズニングの厄介な点は、ユーザーの「検索結果の上位に表示されるサイトは有益・信頼性がある」という心理を悪用していることです。
とくに、クリックされる可能性の高い検索結果1ページ目の上位に表示されているサイトに不正なサイトが表示されていた場合、多くのユーザーは何も疑わず、サイトを閲覧する危険性が高いでしょう。
またSEOポイズニングでは、攻撃者が自ら作成したサイトを上位表示させる場合もあれば、すてに上位表示されている、有名企業や組織のWebサイトを改ざんして悪用するケースもあります。
企業や組織のサイトが改ざんされている場合、見た目では正規サイトとほとんど変化が無いため、アクセス後も被害が発生するまで、不正に気づくことは困難です。
なぜ不正なサイトが上位に表示されるのか(仕組み)
GoogleやYahoo!、Bingのような検索エンジンは、ユーザーに最適な検索結果を提供するために、Webサイト内の様々な要素を考慮し、表示する順位を決定します。
順位を決定する具体的な要素としては、キーワードとの関連性やページの信頼性、リンクの質などが含まれます。
攻撃者は不正な手法を用いてこれらの要素を操作し、順位を決定する検索エンジンのアルゴリズムをだまして、自分のサイトを上位に表示させようとします。
これらの手法は、一般的にブラックハットSEOと呼ばれます。
ブラックハットSEOの具体例は以下の通りです。
| キーワードスタッフィング | ・Webページ内に不自然なほど大量のキーワードを詰め込む手法 ・SEOというキーワードで上位表示させたい場合、本文内に無理やり「SEO」と入れたり、ユーザーからは見えないHTMLのソースコードの中に「SEO」と入れたりする |
|---|---|
| クローキング | ・Webサイトを閲覧するユーザーとWebサイトを評価する検索エンジン側のロボットに対してそれぞれ別のページ・コンテンツを表示させる手法 ・ユーザーには詐欺サイトへ誘導するコンテンツを表示し、検索エンジン側のロボットにはSEO対策を行ったコンテンツを表示させることで、検索順位の上位を狙いながら、ユーザーを詐欺サイトに誘導する |
| リンクフォーム | ・大量のWebページを作成し、それらのページ同士で相互にリンクを貼りあうことで、人為的にリンクの数を増やし、ページの権威性を高める手法 |
こうしたブラックハットSEOは、Google検索エンジンのガイドラインに違反する行為であり、近年は「悪質なWebサイト」として、原則ペナルティを受ける仕様とされています。
「ブラックハットSEO」により悪質なサイトが上位表示されるケースは年々減っていますが、企業は引き続きSEOポイズニングへの対策を心がける必要があります。
SEOポイズニングの攻撃手口
SEOポイズニングの代表的な攻撃手口としては、以下の2つがあります。
- 検索結果上位のWebサイトから罠サイトにリダイレクトする
- ファイルレスマルウェアにより訪問ユーザーを感染させる
検索結果上位のWebサイトから罠サイトにリダイレクトする
ひとつ目は、上位表示させたWebサイト(あるいは既に上位表示している企業などのWebサイト)にプログラムを仕込み、自身が作成した詐欺サイトにリダイレクトする手口です。
詐欺サイトにリダイレクトされるまでの流れは以下の通りです。
- 攻撃者がサイトを作成して上位表示させる(もしくは上位表示されているサイトを乗っ取って改ざんする)
- ユーザーが上位に表示されたWebサイトをクリックすると、詐欺サイトにリダイレクトする
- 詐欺サイトと気づかず情報入力や商品購入をおこなうことで、攻撃者に個人情報やカード番号などが盗まれてしまう
この手口ではWebページだけでなく、検索結果の上位に表示されたリスティング広告や、PDFページを悪用する場合もあります。
ファイルレスマルウェアにより訪問ユーザーを感染させる
上位表示させたサイトにファイルレスマルウェアを仕込む手口も報告されています。
ファイルレスマルウェアとは、パソコンのOSに組み込まれた正規のツールや機能を悪用して攻撃を仕掛けるマルウェアのことです。
通常のマルウェアとは異なり、ディスクに実行ファイルを保存せず、痕跡を残さないことから、従来のアンチウイルスでは検出が困難という特徴があります。
このファイルレスマルウェアを上位表示させた記事に仕込み、サイトを訪問したユーザーをマルウェアに感染させます。
ファイルレスマルウェアに感染した場合、以下のような被害を受けるリスクが想定されます。
- 個人・機密情報の漏洩
- 新たなマルウェアへの感染
- 攻撃者によるPCの遠隔操作
SEOポイズニングされた詐欺サイトの特徴
SEOポイズニングされた詐欺サイトを見分ける特徴の1つに、アクセスすると別の詐欺サイトにリダイレクトされるケースがあげられます。
以下のような特徴が見受けられた場合、詐欺サイトを疑いましょう。
- サイトの日本語が不自然・誤字脱字が多い
- 扱っている商材に一貫性がない
- 見慣れないドメインを使用している
詐欺サイトの作成は海外グループが関与しているケースも多く、その場合は自動翻訳ソフトを使ってページを制作しているため、不自然な日本が使われていることがあります。
また、国内の企業サイトの場合、「.com」「.jp」「.co.jp」といったドメインが多くを占めていますが、詐欺サイトの場合は「.xyz」「.live」など、馴染みのないドメインがよく見られます。
そのほか、「デバイスのパフォーマンスが落ちる」「ポップアップが次々に出現する」などの症状があらわれた場合、すでにマルウェア感染している恐れがあります。
このような症状が見られた場合は、アンチウイルスでスキャンするなどの対応をおすすめします。
詐欺サイトの特徴や見分け方については、以下の記事で詳しく解説していますので、ぜひあわせてご覧ください。
SEOポイズニングの被害事例
攻撃者が特定のキーワードでリスティング広告枠を購入し、不正サイトを正規サイトより上位に表示させ、訪問者から個人情報を窃取した事例があります。
厳密にはリスティング広告を使用しているため「SEOポイズニング」とは異なりますが、類似した手法であるため紹介します。
2022年12月、大手鉄道会社が運営するWebサイトの名称で検索をかけたところ、正規のサイトと酷似した偽サイトが、検索結果の上位に表示される事件が発生しました。
ユーザーがこのサイトにアクセスすると、偽の会員ページへと遷移し、そこにIDやパスワードを入力してしまうと、認証情報を窃取されてしまうという手口でした。
偽サイトでは、「.com」ではなく「.su」など見慣れないドメインを使用していましたが、サイトのデザイン自体は正規サイトと全く同じものが用いられていたとのことです。
偽サイトを作られた当該企業では早期に検索エンジンの運営会社に「広告の取り下げ」を要請し、偽サイトの表示は取り下げられました。
有名企業やサービスを名乗るサイトであっても、日本語表記やドメイン名、不自然なポップアップ広告の表示など、偽サイトの兆候に気を配るよう心がけましょう。
個人でできるSEOポイズニング対策
SEOポイズニングの対策は、「個人」「企業」それぞれで、日頃からセキュリティ対策をおこなっていくことが重要です。
「個人」でできるSEOポイズニング対策としては、以下が挙げられます。
- クリックする前に、検索結果に表示されているURLをよく確認する
- 異なるサイトが表示された場合は速やかに離脱する
- OSを常に最新の状態にしておく
- アンチウイルスを導入しておく
「検索結果の上位に表示されている=信頼できる」と考えているユーザーは多いですが、実際には今回紹介したように、SEOポイズニングの脅威が潜んでいる危険性があります。
怪しいドメインや不審な文字列が含まれていないか、日ごろから確認する習慣をつけましょう。
また、もしWebサイトにアクセスした際、突然異なるサイトに遷移した場合は、即座にブラウザを閉じるなど偽サイトから速やかに離脱してください。
こうした基本の対策に加え、OSの定期的なアップデートやアンチウイルスの導入をおこなうことで、SEOポイズニングの被害にあう確率を根本的に引き下げることができます。
企業・組織がおこなうべきSEOポイズニング対策
続いて企業・組織が取り組むべきSEOポイズニング対策を4つ紹介します。
- Web改ざんを検知できるツールを導入する
- 認証を強化する
- 従業員にセキュリティ教育をおこなう
- アンチウイルスやEDRを導入する
Web改ざんを検知できるツールを導入する
SEOポイズニングでは、企業や組織のWebサイトを改ざんし、マルウェアやリダイレクトの仕様を仕掛ける手口がよく用いられます。
企業であれば自社のWebサイトが改ざんされ、サイバー攻撃や詐欺に悪用される可能性もあるでしょう。
企業・組織が早期にWebサイトの改ざんを検知・対処するためには、Web改ざんを検知する専用のセキュリティツールを導入することが重要です。不正な変更が行われた際も運営者側で速やかに検知し、修正をおこなうなどの対策ができます。
認証を強化する
サイト管理者のIDやパスワードが攻撃者に推測されたり、盗まれたりすることで、Webサイトが不正に改ざんされてしまう危険性があります。
解決策として、従来のIDとパスワードを用いたログイン手法だけでなく、「多要素認証」などを導入して認証を強化することが有効です。
多要素認証とは、以下の項目から2つ以上の要素を活用して認証をおこなうセキュリティ手法です。
| 知識情報 | パスワード、個人識別番号、秘密の質問など |
|---|---|
| 所持情報 | スマートフォン、セキュリティキーなど |
| 生体情報 | 指紋、静脈、虹彩など |
多要素認証を導入すれば、たとえ偽サイトを通じてIDやパスワードを不正に入手されたとしても、認証を突破されるリスクを低減できます。
従業員にセキュリティ教育をおこなう
社外ネットワークやクラウドサービスの利用が進む昨今、多くの従業員が、業務で検索エンジンを使用する機会があります。
業務を円滑に遂行するために企業は、インターネットを使用するすべての従業員に対し、セキュリティ教育にて「SEOポイズニング」のリスクや正しい対策について共有することが大切です。
具体的には、以下のような内容を共有する必要があります。
- ・ SEOポイズニングとはどのような攻撃手法か
- ・ どういった被害が想定されるか
- ・ 被害にあわないためには日ごろからどのようなことに気をつければよいのか
また「日本語やURLが不自然なサイトは閲覧しない」「安易に個人情報を入力しない」といった心がけは、フィッシング詐欺やメール攻撃といった、その他のサイバー攻撃対策にも通じるものがあります。
アンチウイルスやEDRを導入する
SEOポイズニングされたサイトを閲覧すると、知らない間にマルウェアに感染してしまうケースもあります。
そのため、PCやスマホへのマルウェア侵入を未然に防ぐことが可能な「アンチウイルス」、あるいは万が一マルウェアが侵入しても素早く検出し、隔離や駆除を行える「EDR」といったエンドポイントセキュリティを導入しておくことが欠かせません。
アンチウイルスとEDRは互いに補完的な役割をもち、ともに導入することで、より強固なエンドポイントセキュリティを叶えられる製品です。SEOポイズニングによるマルウェア感染から、従業員の大切な端末を保護し、インシデントの発生を防ぎます。
自社サイトがSEOポイズニングの被害にあった場合の対処法
万が一、自社のWebサイトがSEOポイズニングに悪用された場合、以下の対処を早期におこなうようにしましょう。
- 改ざんされたサイトの公開中止とサイト管理者情報の変更
- 警察やセキュリティ有識者への相談
- サイトの再構築
まずは被害を拡大させないためにも、改ざんされたサイトを速やかに公開中止し、さらなる改ざんを防ぐためサイト管理者のIDやパスワードを変更しましょう。
あわせて、最寄りの警察署またはサイバー犯罪相談窓口に通報・相談することも忘れないようにしてください。
専門機関に相談する際は、アクセスログなどの資料を持参する必要があります。
また改ざんされたWebサイトは、表面上の対処だけでなく、必ず再構築をおこなうようにしましょう。
「見慣れないファイルを削除する」などの簡単な対処だけでは、改ざんによる影響の根絶が難しく、再びリダイレクトが機能してしまうなどのリスクがあるためです。
さらに、日ごろからあわせて行っておきたいのが、定期的なバックアップを取得することです。
運営するサイトのバックアップを取っておくことで、仮に改ざんの被害にあってしまっても、データを用いてサイトを復旧することができます。
SEOポイズニング対策なら「LANSCOPEサイバープロテクション」
SEOポイズニングによるマルウェア感染対策におすすめなのが、AI機能を活用したアンチウイルス「LANSCOPE サイバープロテクション」です。
「LANSCOPE サイバープロテクション」は、新種・未知のマルウェア対策に強みを持つ、2種類のAIアンチウイルスを提供しています。
- アンチウイルス✕EDR✕監視サービス(MDR)をセットで利用できる「Aurora Managed Endpoint Defense」
- 各種ファイル・端末に対策できる次世代型アンチウイルス「Deep Instinct」
1. アンチウイルス✕EDR✕監視サービス(MDR)をセットで利用可能な「Aurora Managed Endpoint Defense」
アンチウイルスは、EDRと掛け合わせることで、より強固なエンドポイントセキュリティ体制を確立できます。
しかし実際は、「EDRによるセキュリティ監視に手が回らない」という声も多く、アンチウイルスとEDRの併用が出来ていないケースも少なくありません。
- アンチウイルスとEDRを併用したい
- なるべく安価に両機能を導入したい
- しかし運用面に不安がある
そういった方におすすめしたいのが、アンチウイルスを中心に3つのサービスを提供する「Auroraシリーズ」です。
「Auroraシリーズ」は、下記の3種類の製品・サービスをお客様の予算やご希望条件に応じて提供します。
- 最新のアンチウイルス「Aurora Protect」
- EDR「Aurora Focus」
- EDRを用いた運用監視サービス「Aurora Managed Endpoint Defense」
高精度なアンチウイルス・EDRを併用できる上、セキュリティのプロが24時間365日監視をおこなうため、より確実にマルウェアの侵入からお客様のエンドポイントを保護することが可能です。
「アンチウイルス」のみ、「アンチウイルス+EDRのみ」を導入するなど、柔軟な提案も可能です。
侵入前・侵入後のランサムウェア対策を両立することで、お客様の大切な情報資産を守りましょう。
2. 各種ファイル・端末に対策できるNGAV「Deep Instinct(ディープインスティンクト)」
次に、AIによるディープラーニング機能で、未知のマルウェアを高精度にブロックする、次世代型アンチウイルス「Deep Instinct(ディープインスティンクト)」を紹介します。
SEOポイズニングでは、セキュリティ製品の検知を逃れるために、高度な「ファイルレスマルウェア」が使用されることがあります。
しかしファイル形式を問わず対処する「Deep Instinct」であれば、ファイルレスマルウェアも高い精度で検知・防御することが可能です。
たとえば、以下のような課題をお持ちの企業・組織の方には、「Deep Instinct」が効果を発揮します。
- 未知のマルウェアも検知したい
- 実行ファイル以外の様々なファイルにも、対応できる製品が良い
- 手頃な価格で高性能なアンチウイルスを導入したい
近年の攻撃者は、セキュリティ製品の検知を逃れるため、実行ファイルだけでなく、ExcelやPDF・zipなど、多様な形式のマルウェアを生み出します。
ファイル形式を問わず対処する「Deep Instinct」であれば、高度化・巧妙化するマルウェアも、高い精度で検知し、防御することが可能です。
また、手ごろな価格設定も魅力です。詳細は以下よりご覧ください。
「Deep Instinct」についてより詳しく知りたい方は、下記のページをご確認ください。
万一、ランサムウェアに感染したら?インシデント対応パッケージにお任せください
「マルウェアに感染してしまったかも」 「サイトに不正ログインされた痕跡がある」 など、サイバー攻撃の被害が発覚した場合、いち早く対応し、復旧させる必要があります。
サイバー攻撃の被害を最小限に抑える方法として、プロがお客様に代わって脅威に対処する 「インシデント対応パッケージ」 の利用がおすすめです。
「LANSCOPE サイバープロテクション」の「インシデント対応パッケージ」では、フォレンジック調査のスペシャリストがお客様の環境を調査し、感染状況と影響範囲を特定します。
また、調査後は、封じ込めをはじめとした復旧支援に加え、今後どのように対策すべきかのアドバイスも提供します。
「自社で復旧作業をおこなうのが難しい」「攻撃の感染経路や影響範囲の特定をプロに任せたい」というお客様は、ぜひご検討ください。
「インシデント対応パッケージ」については、下記のページで詳しく紹介しています。
まとめ
本記事では「SEOポイズニング」をテーマに、その概要や対策について解説しました。
▼本記事のまとめ
- SEOポイズニングとは、検索エンジン最適化(SEO)技術を悪用して、サイトを閲覧したユーザーをマルウェアに感染させたり、詐欺サイトに誘導したりするサイバー攻撃手法
- SEOポイズニングの代表的な攻撃手口としては、「不正なサイトにリダイレクトさせる」「ファイルレスマルウェアの利用」などが挙げられる
- SEOポイズニングの被害に遭わないためには、「検索結果に表示されているURLを確認する」「OSを定期的にアップデートする」「アンチウイルスの導入する」などの対策が有効である
- 企業・組織が取り組むべきSEOポイズニング対策としては、「Web改ざんを検知できるツールの導入」「多要素認証の導入」「従業員へのセキュリティ教育」「アンチウイルスやEDRの導入」などが挙げられる
SEOポイズニングは、検索エンジンという誰もが気軽に利用できるサービスを悪用する手口で、インターネットを利用するすべてのユーザーが被害に遭う可能性を持っています。
セキュリティ製品や多要素認証の導入といった基本的な対策に加え、SEOポイズニングという攻撃への理解と、「検索結果の上位に表示されているから安心」という意識そのものの改革が必要でしょう。
「LANSCOPE サイバープロテクション」を提供するエムオーテックス株式会社では、「組織の現状のセキュリティ対策が十分であるか?」を簡易診断できる「サイバー攻撃対策チェックシート」を用意しています。
ぜひ本記事とあわせて、組織のセキュリティ対策にご活用ください。
おすすめ記事
