こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
トレンドマイクロ株式会社は10月16日、日本向け偽ショッピングサイトの背後にいる犯罪グループの分析に用いた手法と、個々の犯罪グループが用いる手口についての解説記事を同社セキュリティブログで発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】偽ショッピングサイトに使われているSEOマルウェアの手口について発表されています。SEOマルウェアの概要や、その対策について説明します。
今回のレポートは、攻撃者がWebサーバに対するコンテンツ要求を横取りし、改ざん前のWebサイトとは異なるコンテンツの応答を返すために、Webサーバを改ざんして設置される「SEOマルウェア」に関するものです。
偽ショッピングサイトへの転送コンテンツは、SEOマルウェアのC2サーバや時期によって異なっており、転送コンテンツの特徴ごとに番号を付けてグルーピングすることでC2サーバ、さらには背後の犯罪アクターを分類することができるということです。
SEOマルウェアとは、検索エンジンの検索結果を不正に操作するためのマルウェアです。検索エンジンの検索結果で特定のWebサイトを上位に表示させることにより、攻撃者の用意したフィッシングサイトや、攻撃者によって改ざんされたWebサイトに被害者を誘導します。例えば、みなさんの自宅にご家族が来た場合と、お客様が来た場合は、それぞれどのような対応をされますか?来評者によって対応を変えると思います。
SEOマルウェアも同様に、来訪者によって誘導するWebサイトを変更しています。SEOマルウェアは、Webサーバへのアクセスが検索エンジンのクローラからのアクセスであると判断した場合は、商品情報のようなSEOポイズニング攻撃に使われるコンテンツを応答します。一方で、検索結果から誘導されたユーザからのアクセスであると判断した場合は偽ショッピングサイトに転送するスクリプトを含むコンテンツを応答します。なお、アクセス元の判別にはHTTP要求ヘッダに記載のあるReferrerやUser-Agentヘッダを利用しているということです。
Webサイトの管理者が行うSEOマルウェアの対策として、Webサイトが改ざんされた際の検知と、リアルタイムまたはオンデマンドのマルウェア検知が必要です。
まず、SEOマルウェアはWebサイトを改ざんすることによって、被害者を攻撃者のサイトへ誘導しようとします。具体的には、攻撃者はPHPやJavaScriptなどのプログラミング言語を用いてWebサイトを改ざんすることでSEOマルウェアを設置し、被害者を偽のショッピングサイトへ転送させる手口が確認されています。
また、SEOマルウェア自体を検知できる仕組みも導入することが必要です。これは一般的なコンピュータウイルス対策と同様で、マルウェアがリアルタイムに設置された際や、1日1回などの定期的なフルスキャンをシステムに対して実施することで、意図せずマルウェアが設置されていないか確認することが求められます。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
