以前からYahoo!やGoogleといったサーチエンジンの検索結果に不正サイトが入ってしまう場合があることが指摘されていましたが、トレンドマイクロでは Google などのサーチエンジンをWeb経由攻撃の導入口として悪用することを狙った攻撃例を確認しました。トレンドマイクロのウイルス解析センター「TrendLabs」による11月27日の時点での調査によれば 「christmas」 「 gift」 「 shopping」 や 「christmas」 「 holiday」 「 sale」 など、この時期にユーザが検索に使いやすい英単語の組み合わせでのGoogleによる検索結果のうち、半数近くが不正プログラムをインストールさせようとする不正なサイトでした。これは攻撃者による操作によって不正サイトの検索順位が押し上げられた結果と考えられます。
- 参考:TrendLabs Malware Blog 2007年11月27日 「You Better Watch Out, Xmas Web Threats Come to Town」
現在、この新しい攻撃はSEO手法によるサーチエンジンの汚染という意味で「SEOポイズニング」と呼ばれています。SEO (Search Engine Optimization : サーチエンジンオプティマイゼーション=検索エンジン最適化)とはサーチエンジンの検索結果で特定のサイトをなるべく上位に表示させようとすることです。SEOはWebページへのアクセス数を伸ばす手段として常識化している手法ですが、Web経由での攻撃を狙う悪意のハッカーもこのSEO対策を研究し、自身の不正サイトの検索順位を上昇させたものと考えられます。トレンドマイクロが確認した以外にも、一般的なコンピュータ用語などの組み合わせで多くの不正サイトが検索上位を占めていたケースを様々なセキュリティベンダーが確認しているようです。いずれの攻撃例でも検索結果を占拠した不正サイトはランダムな文字列+ .cn ドメイン(中国)のサイト名という共通点がありました。サーチエンジンとの検索結果とは別に、不正サイトのURLを含んだ掲示板やブログへの書き込みも多く見つかっており、これらのコメントスパムによって不正サイト検索順位が上がったものと考えられています。用意された不正サイトの数や検索順位に影響を及ぼすほどのコメントスパムなどからも、想像以上に規模の大きな攻撃だったことが窺えます。
今回確認された事例に関してはGoogle側で対処を行い、既に同じキーワードであっても不正サイトが表示されることは無くなっています。しかし、一回行われた攻撃手法は何度も繰り返されることが多いものです。サーチエンジンの検索結果は特に疑わずにクリックしてしまう場合が多いと思われますが、今後は注意してクリックしないといけないでしょう。もちろん、サーチエンジン側でも不審なサイトを警告する機能がありますし、トレンドマイクロでも「Trend プロテクト」のような安全性評価ツールを用意しています。しかし、他のセキュリティ対策同様、最終的にはユーザ一人一人が攻撃事例を理解し注意していくことが重要でしょう。