検索結果からマルウェアに誘導　「SEOポイズニング」3つの方法とは？：「SEOポイズニング」攻撃の実態【中編】

SEOを悪用して有害なWebサイトに誘導する「SEOポイズニング」攻撃は、実際のサイバー攻撃においてどのように悪用されているのか。マルウェア「SolarMarker」の配布に使われた攻撃を例に、具体的な方法を探る。

≫ 2022年03月11日 05時00分公開

[Alexander Culafi，TechTarget]

“成功”を収めている3つの手法

　SophosLabsはブログエントリで、攻撃者が使用していたSEOポイズニングの3つの方法を解説する。

併せて読みたいお薦め記事

連載：「SEOポイズニング」攻撃の実態

前編：「SEOポイズニング」復活の“謎”　SEOを攻撃に悪用する手口

さまざまな攻撃手法とマルウェア

　1つ目の方法は、まずグループ内情報共有ツール「Google Groups」のディスカッションページを作成して、SEOポイズニングの対象とする検索キーワードに関連した投稿を500～600件書き込む。攻撃者はこれらの投稿のコメントに、PDFドキュメントへのリンクに見せかけた有害なファイルへのリンクを挿入する。このファイルは実行時にコマンド実行ツール「PowerShell」用の攻撃スクリプトを、エンドユーザーのマシンに実行させる。

　2つ目は、有害なPDFドキュメントを作成して、このPDFドキュメントへのリンクを検索結果に表示する方法だ。このPDFドキュメントには検索キーワードのテキストデータやファイルのダウンロードリンクを含む。エンドユーザーがそのリンクをクリックすると、マルウェア配布サイトにリダイレクトされる。

　3つ目は、攻撃用のHTMLテキストを仕込んだ有害なWebサイトを使用する方法だ。ブログエントリによれば、これらの有害なWebサイトは、検索されやすいキーワードを並べたリンク群を掲載している。エンドユーザーがリンクをクリックすると、いずれをクリックした場合でも同じ攻撃用サーバがホストする有害なWebサイトに移動する。

　攻撃者がSolarMarkerの配布に悪用した検索キーワードには、

university
worksheet
application
handbook

などがある。SophosLabsが発見したインストーラーファイル名の一例は「good-choice-bad-choice-worksheet-for-kids.msi」だった。

　「SEOポイズニングの効果は非常に高い」とSophosLabsは解説する。検索キーワードによっては、Googleの検索結果上位10件以内に、前述の1つ目、2つ目、3つ目の方法それぞれで挿入したリンクがいずれも表示されるという。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

TechTargetジャパントップセキュリティ