SEOを悪用して有害なWebサイトに誘導する「SEOポイズニング」攻撃は、実際のサイバー攻撃においてどのように悪用されているのか。マルウェア「SolarMarker」の配布に使われた攻撃を例に、具体的な方法を探る。
セキュリティベンダーSophosの脅威分析機関SophosLabsは2022年2月に公開した公式ブログのエントリ(投稿)で、「SEOポイズニング」を使って遠隔操作型マルウェア「SolarMarker」を配布する攻撃の存在を明らかにした。SEOポイズニングは、一般的なSEO(検索エンジン最適化)のテクニックを悪用した攻撃手法だ。今回の攻撃では、攻撃者は検索エンジンの検索結果上位に有害なWebサイトへのリンクを表示しやすくして、そのリンクをクリックしたエンドユーザーをマルウェア配布サイトに誘導した。
SophosLabsはブログエントリで、攻撃者が使用していたSEOポイズニングの3つの方法を解説する。
1つ目の方法は、まずグループ内情報共有ツール「Google Groups」のディスカッションページを作成して、SEOポイズニングの対象とする検索キーワードに関連した投稿を500〜600件書き込む。攻撃者はこれらの投稿のコメントに、PDFドキュメントへのリンクに見せかけた有害なファイルへのリンクを挿入する。このファイルは実行時にコマンド実行ツール「PowerShell」用の攻撃スクリプトを、エンドユーザーのマシンに実行させる。
2つ目は、有害なPDFドキュメントを作成して、このPDFドキュメントへのリンクを検索結果に表示する方法だ。このPDFドキュメントには検索キーワードのテキストデータやファイルのダウンロードリンクを含む。エンドユーザーがそのリンクをクリックすると、マルウェア配布サイトにリダイレクトされる。
3つ目は、攻撃用のHTMLテキストを仕込んだ有害なWebサイトを使用する方法だ。ブログエントリによれば、これらの有害なWebサイトは、検索されやすいキーワードを並べたリンク群を掲載している。エンドユーザーがリンクをクリックすると、いずれをクリックした場合でも同じ攻撃用サーバがホストする有害なWebサイトに移動する。
攻撃者がSolarMarkerの配布に悪用した検索キーワードには、
などがある。SophosLabsが発見したインストーラーファイル名の一例は「good-choice-bad-choice-worksheet-for-kids.msi」だった。
「SEOポイズニングの効果は非常に高い」とSophosLabsは解説する。検索キーワードによっては、Googleの検索結果上位10件以内に、前述の1つ目、2つ目、3つ目の方法それぞれで挿入したリンクがいずれも表示されるという。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
Metaに潰されないために残された生き残りの道は?――2025年のSNS大予測(Snapchat編)
若年層に人気のSnapchatだが、大人にはあまり浸透していない。一方で、AR(拡張現実)開...
「猛暑」「米騒動」「インバウンド」の影響は? 2024年に最も売り上げが伸びたものランキング
小売店の推定販売金額の伸びから、日用消費財の中で何が売れたのかを振り返るランキング...
Netflixコラボが止まらない 「イカゲーム」シーズン2公開で人気爆上がり必至のアプリとは?
Duolingoは言語学習アプリとNetflixの大人気ドラマを結び付けたキャンペーンを展開。屋外...