転送サービスを悪用した不正サイトへの誘導

 12月26日、厚生労働省は検索エンジンにて「厚労省」「厚生労働省」のキーワードにて検索を実施した際に、厚生労働省ホームページのアドレスとは異なるURLがトップ表示されることがあることを同省のトップページで呼びかけています(12月27日 9:00時点)。

 


071227comment01.gif
図1 厚生労働省トップページおける注意喚起文

 

 この問題から見えてきたセキュリティ上の懸念点について紹介いたします。

Googleによる「厚生労働省」キーワード検索の結果表示問題

 TrendLabsでは、Googleにて両キーワードによる検索を実施した際に、検索結果のトップに正規のURLとは異なるアドレスにて同省のホームページと同じデザインのページが表示されることを確認いたしました(12月26日 12:00時点)。

 我々はすぐさまSEOポイズニング(* 参考情報1)の可能性を疑い、サイトのソース分析を実施しました。しかしながら、ウイルス配布に悪用されているような形跡は認められませんでした。

 このため、該当サーバの所在地 / 所有者情報よりサイトの意図について分析を行いました。

 その結果、サーバの所在地が台湾であること、WinPerTurn Corp.によって提供されている翻訳サービス(MojoLingo 全球通 *注釈1)によって生成されたURLであることを特定しました。

 実際にアクセスを試みると、図2のように画面右上に日本語から中国語(Big5:Traditional Chinese または GB:Simplified Chinese)へ変換するためのツールバーが表示されることが確認できます。

 


071227comment02.gif
図2 Googleにてトップ結果として表示されていたサイト

 

 結論として、今回の事例は不正サイトや詐称サイトがトップ表示されたものではなく、翻訳サービスによって生成された正規サイトへの転送URLがトップに表示された事例であることが判明しました。

 このような問題はGoogleに限らず、他の検索サイト / 転送サービスでも十分に発生しうる問題です。想定される悪用事例からその可能性を探ります。

転送サービス悪用の危険性

 悪意あるユーザが「Webからの脅威」(受動攻撃)を成立させるためには、被害者を不正サイトに呼び込む必要があります。
そこで、悪意あるユーザは不正サイトを信頼性の高い有名サイトであるかのように装うことで、被害者を呼び込んで攻撃を成立させています。

 ここでは、先の厚生労働省事例にも通じる、転送サービスを悪用した攻撃事例について紹介します。

 表1はスパムメールで悪用されていた偽装リンクを再現したものです。

 


071227comment03.gif
表1 Googleの検索結果ページであるかのように装ったURL

 

 この2つの事例では、Googleが提供する機能(* 注釈2)を悪用しています。

 いずれにおいても、先頭の青色文字列に注目した場合、Google内に存在するサイトであるかのように錯覚します。
しかし、実際には赤色文字列に記載されたURL「Trend Micro Security Blog」に転送されます。

 こうして悪意あるユーザは、Googleというブランドの信頼を逆手にとって、被害者を不正サイトに呼び込んでいます。

 このような機能はGoogleに限ったものではありません。

 表2はExciteの提供する翻訳サービスを利用してURL転送を行った例です。

 


表2 Exciteの翻訳サービスを利用してURL転送を行った例
表2 Exciteの翻訳サービスを利用してURL転送を行った例

 

 Googleの事例と同様にExcite内に存在するサイトであるかのように錯覚します。

 先の3つの事例では、URL中に転送先も記載されていました。このため、注意深くリンクを確認する人であれば、クリックに躊躇することも考えられます。

 しかしリンク先が表示されているURLから確認できない、表3のような事例も確認されています。

 


表3 TinyURLのURL短縮サービスを利用してURL転送を行った例
表3 TinyURLのURL短縮サービスを利用してURL転送を行った例

 

 表3の3つのURLはいずれも「ウイルス感染被害レポート – 2007年度(速報)」へのリンクです。攻撃者は短縮URLサービスを悪用することで、URLから推測される不正サイトの情報を隠蔽し、被害者を不正サイトへ呼び込むことを実現させています。

 本来、短縮URLサービスは記憶困難な長いURLをシンプルにしたり、携帯電話などからのアクセスビリティを向上させるために提供されているものです。

 有益なサービスも悪意あるユーザに渡ると、このように隠蔽手段として悪用される場合があります。

 サービス提供者側も悪用されることを好ましく思っていません。一部の短縮URLサービスでは、表3の緑色文字列のように、一端プレビューページに転送させ、利用者に実URL(転送先URL)を確認させることで悪用を防ぐ対策を講じている場合もあります。

 このようなプレビュー機能はすべての短縮URLサービスで提供されているものではありません。また、短縮URLサービスの詳細を理解していなければ、プレビュー機能を有効に活用することもできません。

 このため、短縮URLサービスのプレビュー機能による不正サイトへの転送防止効果は決して高いとは言えないようです。

サイト運営者に求められる新たな課題

 インターネット黎明期より、「サイバースクワッティング(Cyber Squatting)」と呼ばれる攻撃が横行しています(* 参考情報2)。
サイバースクワッティングとは、企業や著名人に関連した特定ドメインを占拠(Squat)し、高額で売りつける攻撃手法です。

 類似する用語として、「タイポスクワッティング(Typo Squatting)」と呼ばれる攻撃手法もあります。こちらは、利用者のタイプミス(Typo)を狙ったドメイン名を取得し、攻撃者の意図するサイトへ誘導する攻撃手法です。

 これら攻撃背景を受け、サイト運営者はサイトのセキュリティを高めるために、ドメイン名を組織の知的財産と位置づけ管理していくことが重要であると既に知られています。

 今回報じられた、厚生労働省事例より、サイト運営者は新たに管理すべき要素が出現したと理解する必要があります。

 「組織名によるインターネット検索エンジンの最上位検索結果」の管理です。

 厚生労働省の事例では直接的な悪意は見られなかったものの、今後はサイバースクワッティングやタイポスクワッティングのように最上位検索結果を占拠するいわば「サーチリザルトスクワッティング(Search Result Squatting)」とも言うべき攻撃の流行も予測されます。

 サーチリザルトスクワッティングを予感させる統計データが公開されています。インターネットコム株式会社株式会社クロス・マーケティングが行った「検索とアクセスに関する調査結果」(2007年8月調査)において、Yahoo! JAPAN利用者の4人に1人がGoogleへたどり着くために、Yahoo!で検索しているとの調査結果を発表しています。

 また、Google社が12月19日に発表した日本語検索サイト「www.google.co.jp」からの検索キーワードの総合ランキング1位に「Yahoo」がランクインしたことを発表しています。

 これら統計データから、一部の利用者においてはURLよりも、検索エンジンの検索結果に大きな意味をもっていると推測できます。

 今回の事例をきっかけに、SEO(Search Engine Optimization : サーチエンジンオプティマイゼーション=検索エンジン最適化)がセキュリティ対策としての側面も持ち始めるのではないでしょうか。


* 注釈1. WinPerTurn Corp.によるMojoLingo 全球通サービスの解説文
* 注釈2. 事例2の下段で悪用されたのはGoogleが提供する「I’m Feeling Lucky」と呼ばれる機能です。

* 参考情報1. Trend Micro Security Blog、TrendLabs Malware Blog(英語) におけるSEOポイズニングに関する記事は以下のとおり

* 参考情報2. 米SANS Instituteが伝える期限切れドメインを第三者が取得し、悪用する事例

 

* 参考情報3.

トレンドマイクロでは、Webサイトの安全性を評価するツール「Trendプロテクト」をリリースしています。
同ツールは、Google、Yahoo!、およびMSNの検索結果ページに表示されたWebサイトの安全性をポップアップで表示するInternet Explorer用のプラグインです。
評価は5段階で行われ、ポップアップの上部が安全(緑)、危険(赤)、警告(黄)、信頼済み(黄)、不明(グレー)の4色で色分けが行われます。
Trend プロテクトは、ウイルスバスター2008をすでにお使いで、オンラインユーザ登録がお済みのお客さまのみにご利用いただけるツールです。ツールをインストールするには、お使いのウイルスバスター2008のCD-ROMからインストールしていただくか、または、「トレンドフレックスセキュリティ」サイトへのログイン後にインストールすることが可能です。