「偽サイト騒動」の背後に不審なWebプロキシサイトを確認

この6月に入り、官公庁や市町村のWebページの「偽サイト」が検索上位に登場するなどの報告が相次ぎ、15日にはNISC（内閣サイバーセキュリティセンター）から注意喚起が発出される事態となりました。トレンドマイクロでこれら「偽サイト」について調査したところ、問題のサイトは「プロキシ回避システム（Proxy Avoidance Websites）」の一種であると判明しました。プロキシ回避システムを原因とする偽サイト騒動は過去から何度も繰り返されてきました。しかし、今回の事例に関する調査の中では過去事例と異なり、オリジナルのサイトにはないJavaScriptを挿入するといった不審点も確認されました。本記事ではこの調査について報告いたします。

■「偽サイト騒動」を繰り返す「プロキシ回避システム」？

「プロキシ回避システム」とは、利用者が指定したWebページを中継して表示するサービスであり、「中継サービス」、「検閲対策サイト」、「Webプロキシサイト」などと呼ばれる場合もあります（以下「Webプロキシサイト」と呼称）。一般的には、URLフィルタリングなどによるブロックを回避して目的のWebページを表示する、接続元のIPアドレスを接続先のWebサーバに知られるのを防ぐ、などの目的で使用されるものです。基本的には指定されたWebページを中継して表示するだけなので、それだけで不正な存在とは言えません。しかし使用した結果として、オリジナルのWebページとそっくりな内容が異なるURLで表示されるため、「偽サイト」として混乱を呼ぶ事例が繰り返されています。

今回問題となったサイトに関しても、基本的には指定されたURLのWebページの内容を中継するものでした。ただし調査の結果、要求された接続先の内容にinject.jsというファイル名のJava Scriptコードを挿入する挙動が確認できました。そしてこのJava Scriptコードの挿入により、本来の表示が崩れて表示される場合があるほか、広告のポップアップが表示されるなど元々のWebページには存在しない機能が追加されている場合があることも確認できました。中継するサイトの種類には基本的に制限がなく、どのようなWebページでも、Java Scriptコードを挿入して表示されます。このように、オリジナルのWebページとは異なる挙動を差しはさむことは、「Webプロキシサイト」の範疇を外れる「不審な行為」と言えます。

■問題になった「偽サイト」と同様のWebプロキシサイトを多数発見

トレンドマイクロでは、クラウド型セキュリティ技術基盤「Smart Protection Network（SPN）」の統計情報を利用し、今回問題になったサイトと同様の挙動を示すサイト（以下、Webプロキシサイトと呼称）を多数発見しました。以下SPNのテレメトリデータから確認した不審なWebプロキシサイトの状況を説明します：

1. 不審なWebプロキシサイトで中継表示するためのURLでは、中継して表示したいURLがパスの中で「artikel」など特定の文字列の識別子の後に続いて指定されていることを確認
例：hxxps://<不審Webプロキシサイトのドメイン＞/artikel-https-＜中継するサイトのURL＞

2. SPNが持つ6月1日から15日までのテレメトリデータで同様の構造を持つURLを調べたところ、以下の14の識別子を使用する、215のドメインの380のユニークなホストへのアクセスを確認。このうち日本からのアクセスで利用されたのは127のドメインに182のホスト

artikel
baca
book
content
crypto
host
id
list
read
tips
topik
update
urtikel
view

3. 不審なWebプロキシサイトへアクセスしたユーザ数をドメイン別に時系列に見ると、全体のトラフィックはほぼ安定しているが、途中からほぼ使用されなくなったドメインも存在することを確認

4. 不審なWebプロキシサイトを経由して中継表示されたWebページとしては、市町村や官公庁のサイトの他、Wikipedia.orgやAmazon.co.jpなど様々なサイトへのアクセスがあったことを確認

5. NISCから注意喚起が発出された15日以降、市町村や官公庁のWebページへのアクセスはほぼなくなったものの、それ以外のサイトへのアクセスは継続

6. 各種報道ではBingの検索結果上位にWebプロキシサイトが含まれていたことが取り上げられていたため、中継されていたサイトのキーワードを様々な検索サイトで検索したところ、BingだけでなくGoogleやYahoo！などの検索サイトでも、検索結果にWebプロキシサイトが表示されるケースを複数確認

7. Web検索の結果にWebプロキシサイトが含まれていることを確認したケース全てにおいて、中継表示の際にinject.jsが挿入され、結果として本来のWebページの内容に追加してポップアップ広告が表示されることを確認

8. また、「OPEN SLOT ADS」として広告スペースを販売するための募集広告の表示が出る例もいくつか確認

9. この広告スペースの募集広告で表示されている特定のGmailアドレスについて調査したところ、同一のメールアドレスを連絡先に使用しているWebサイトが判明

10. このメールアドレスの所有者が不審なWebプロキシサイトとSEOによる誘導にどのように関与しているかは不明ですが、Webサイト表示時に挿入されるinject.jsにはコメントやコンソールへの出力メッセージにインドネシア語が含まれていること、inject.js内においてインドネシアで多く利用されているWebトラッキングツールであるhistats.comが利用されていることなどが確認されており、インドネシアと何らかの繋がりがある可能性が考えられる

今回の調査で確認できたWebプロキシサイトの中には、改ざんされた正規サイト上にWebプロキシサイトを設置していると考えられるものがありました。それらについては明確に不正な存在と言えます。また個々のWebプロキシサイト同士の関連性については不明ですが、同一の識別子を使用するサイト同士は関連があるものと推測できます。また同一ドメイン上のサイトでも異なる識別子を使用しているものもあり、これらも関連があるものと推測されます。

また トレンドマイクロSPNのテレメトリデータでは、今回確認できた一連のWebプロキシサイトに対する日本国内からのアクセスは、2021年6月時点から既に存在していることが判明しました。このトラフィックのピークは今年3月となっており、今回騒がれるよりも以前から不審な活動が継続していたことがわかりました。

■インターネット利用者が取るべき心がけ：

先述の通り、Webプロキシサイトという存在自体は不正なものではありません。ただし、プロキシという挙動の性質上、中継する通信を盗聴したり、内容を追加あるいは改変して中継したりすることが可能であるため、信頼の置けないWebプロキシサイトの利用は危険を伴います。

今回の事例から確認できた一連のWebプロキシサイト群については、運営者の情報が不明であること、元々のWebページには存在しない広告表示が追加されること、改ざんサイト上にホストされているものがある、などの点から、直接の危険はないものの、「信頼できるWebプロキシサイト」とはとても言えないものばかりでした。広告表示は直接のアフィリエイト収入を得るだけでなく、広告表示の場を他のアフィリエイトに提供することでも収入を得ることができるため、SEOと組み合わせてトラフィックを呼び込むことで、金銭目的の何者かが新たな金銭収入の場を開拓しようとしている可能性が考えられます。

また、利用者として今回の事例を見た場合、どのような検索サイトであろうとも検索結果に悪質なサイトが紛れ込む可能性があることを認識し、注意して利用する必要があると言えます。

■トレンドマイクロの対策：

トレンドマイクロでは、本稿で取り上げた不審なWebプロキシサイトについて、一般利用者にとって紛らわしいサイトであると共に、オリジナルのWebページの内容に広告表示を追加する挙動を持つことから、「Webレピュテーション」技術によりアクセスの検出/ブロックに順次対応しています。

■侵入の痕跡（Indicators of Compromise、IoC）

今回の記事に関する侵入の痕跡は、こちらをご参照ください。

調査：Trend Micro Research、 松川博英（フォワードルッキングスレットリサーチ）

【更新情報】