この攻撃の背景

トレンドマイクロのウイルス解析チームは、2010年1月25日(ミュンヘン時間)、SEOポイズニングに関する連絡を受信。ユーザが「free printable」というキーワードで検索した検索結果から、不正なJavaScriptが挿入されたWebサイトに誘導されることになります。

「SEOポイズニング」攻撃とは何ですか?

「SEOポイズニング」攻撃とは、検索エンジンでの上位検索結果を不正に操作する手法で仕掛ける攻撃です。サイバー犯罪者は、SEOポイズニングの手法を用いて、検索結果の上位に 不正なWebサイトや不必要なサイトを表示させ、ユーザにクリックを促します。彼らは、人気の検索キーワードを用いてユーザを不正なWebサイトへと誘導するのを画策するのです。トレンドマイクロでは、2009年、話題になったニュースや事件、季節行事に関連する検索キーワードを悪用したSEOポイズニング攻撃を複数確認しています。

この脅威は、どのような攻撃をユーザに仕掛けますか?

人気の検索キーワードで検索するユーザが、悪質に操作された検索結果に遭遇することとなります。上記で紹介した「free printable」の事例もその1つとなります。問題となる検索結果には、不正なJavaScriptが挿入により改ざんされたWebサイトにリンクされています。こうして、ユーザが誤ってクリックすると、不正JavaScriptにより、さらに不正なWebサイトに誘導されることとなります。

さらなる解析の結果、誘導先のWebサイトから、偽の検索エンジンページへと誘導することが判明しています。偽の検索エンジンページには、ユーザのIPアドレスに基づき、該当言語で表示されます。一方、誘導先のWebサイトは、サイバー犯罪者により随時変更されており、異なる不正なサイトが用意されます。なお、解析の結果、今回のSEOポイズニング攻撃の結果、偽セキュリティソフトウェア型マルウェア「FAKEAV」の亜種がダウンロードされる事例が確認されています。

サイバー犯罪者は、この脅威により、どのようにして利益を上げますか?

Webサイトの運営者は、アクセス数を増やすために仲介業者に金銭を支払うことがあります。今回の攻撃で、サイバー犯罪者は、ユーザが実際に使用する検索エンジンの代わりに偽の検索エンジンを用いて、特定のサイトに誘導します。これにより、Webサイトの運営者は、違法な参照を仕組むサイバー犯罪者に、本来トラフィック増を請け負う仲介業者に支払う金銭を支払うことになります。

また、今回の攻撃では、偽セキュリティソフト型マルウェア「FAKEAV」の亜種のダウンロードに誘導する事例も確認されています。「FAKEAV」は、偽の感染警告をコンピュータ上に表示し、ユーザに偽セキュリティ製品の「完全版」購入を促すマルウェアです。誤ってこの偽セキュリティソフト完全版を購入しようとした場合、クレジットカード情報を入力するように促されます。この結果、入力情報が収集され、悪用される恐れがあります。

ユーザは、どのような危険にさらされますか?

ユーザは、今回の事例のように知らず知らずのうちにサイバー犯罪者に金銭を支払うだけでなく、他の脅威にさらされる恐れがあります。というのも、誘導先のWebサイトもまた、サイバー犯罪者に管理されているためです。サイバー犯罪者は、誘導先のWebサイトからさらにマルウェアが組み込まれた不正なWebサイトに簡単に誘導することも可能なのです。

コンピュータを攻撃から守るにはどうすればいいのですか?

今回の事例のような感染を防ぐためには、ユーザは以下の点について留意しておくことをお勧めします。

  • ユーザは、今回の事例の被害に遭わないためにも、「free printable」での検索を控えることをお勧めします。
  • ユーザは、Webサイトの評価技術が確かなセキュリティ対策製品をインストールすることを強くお勧めします。これにより、不正なサイトかどうか「採点」され、不正なドメインや特定のWebサイトをブロックすることが可能となります。Trend Micro Smart Protection Network(SPN)の「Web レピュテーション」技術により、今回の攻撃に関連する不正なドメインやURLへのアクセスを阻止します。
  • ユーザは、また、不正なファイルやスクリプトを検知しブロックする機能も備えたセキュリティ対策製品を利用することもお勧めします。今回の事例の場合、SPNと連携した「ファイルレピュテーション」技術により、「JS_REDIRECT.SMF」および「JS_REDIRCT.MAC」として検出され、不正Webサイトに誘導する不正JavaScriptを検知し実行を防ぎます。