「SEOポイズニング」復活の“謎” SEOを攻撃に悪用する手口：「SEOポイズニング」攻撃の実態【前編】

検索エンジンの結果に有害なWebサイトが表示されやすくする「SEOポイズニング」は、新しい攻撃手法ではない。ただしSophosの調べによると、SEOポイズニング攻撃に“変化”が起きている可能性がある。それは何か。

[Alexander Culafi，TechTarget]

　セキュリティベンダーSophosの脅威分析機関SophosLabsが2022年2月に公開した公式ブログのエントリ（投稿）で、「SEOポイズニング」によって遠隔操作型マルウェア「SolarMarker」を拡散させている攻撃者の存在が明らかになった。SEOポイズニングは、一般的なSEO（検索エンジン最適化）のテクニックを悪用した攻撃手法だ。検索エンジンの検索結果上位に有害なWebサイトが表示されやすくして、エンドユーザーをこうしたWebサイトに誘導する。

「SEOポイズニング」攻撃に見つかった“ある変化”とは

併せて読みたいお薦め記事

さまざまな攻撃手法とマルウェア

• 「Discord」攻撃から見える、「公開リポジトリ」が狙われやすくなった理由
• 「Python」で“スキャン擦り抜けマルウェア”の開発が容易に？　その仕組みとは
• 「マルウェア」を知り尽くした人なら解きたい8問クイズ

　ブログエントリによると今回の攻撃では、攻撃者はSEOポイズニングにより、Googleの同名検索エンジンが検索結果上位に、SolarMarker配布サイトへの有害なリンクを表示するようにした。そのリンクをクリックしたエンドユーザーを、アプリケーションインストーラー「Windows Installer」のダウンロードサイトを模した偽サイトに誘導。そこからエンドユーザーのマシンで、コマンド実行ツール「PowerShell」用のスクリプトを実行させるという手順を踏んだ。

　攻撃者は今回の攻撃に、

• グループ内情報共有ツール「Google Groups」のディスカッションページ
• 主にWebコンテンツ管理（WCM）システム「WordPress」で構築した有害なWebサイト
• PDFドキュメント

を利用したとみられる。

　SophosLabsのシニア脅威リサーチャーを務めるショーン・ギャラガー氏は、このブログエントリを共同執筆した。ギャラガー氏によると、今回の攻撃が特殊なのは、個別の攻撃者ではなく「Downloader as a Service」（サービスとしてのダウンローダー）によって、複数のSEOポイズニング攻撃が実行されていることだ。

　「SEOポイズニングは以前からある攻撃手法だが、標的型攻撃の手法としてはさほど効果がなかったため、最近はあまり見られなくなっていた」とギャラガー氏は説明する。SophosLabsによるとSEOポイズニングは、情報窃取マルウェアや暗号資産（仮想通貨）詐欺マルウェアを用いた攻撃手法として、わずかだが浸透している。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。