Video Screencast Help
Scheduled Maintenance: Symantec Connect is scheduled to be down Saturday, April 19 from 10am to 2pm Pacific Standard Time (GMT: 5pm to 9pm) for server migration and upgrade.
Please accept our apologies in advance for any inconvenience this might cause.

進化する SEO ポイズニング

Created: 01 Sep 2010 07:03:14 GMT • Translations available: English
Andrea Lelli's picture
0 0 Votes
Login to vote

以前のブログ記事で、検索エンジンのインデックス処理機能を悪用して悪質なコンテンツを拡散しようとするマルウェアを取り上げました。最近になってシマンテックは、.ch と .nl の最上位ドメインで多数の Web サイトの危殆化を確認しています。これは、大規模な SEO(検索エンジン最適化)攻撃をしかけ、偽ウイルス対策アプリケーションを広めることを目的としたものです。

インターネット上のページを追跡するために、検索エンジンはクローラまたはスパイダと呼ばれる自動の Web スキャン機能を利用しています。その目的は、ネット上に存在するあらゆる Web ページを可能な限り検出してコンテンツを読み取り、検索用のインデックスを作成することです。攻撃者がこの機能を悪用して検索エンジンを欺き、よく検索される語句に悪質な Web ページを関連付けようとすることがよくあります。この攻撃が成功すると、検索エンジンの検索結果に悪質な Web ページが表示されるため、ユーザーがそのページにアクセスする危険性が高くなります。

この攻撃について詳しくは、以下のデモビデオをご覧ください。

ビデオに登場するスクリプトでは、ユーザーの活動ではなくクローラの活動を認識して、クローラからの要求のみに応答するように巧みな方法で処理が行われています。それ以外の要求は無視され、自動解析などの活動から自身を隠すために、スクリプトは「ページが見つかりません」エラーを生成します。

この攻撃は HTML ベースの Web ページだけでなく、画像検索も対象になっています。ビデオでご覧いただいたように、クリックすると悪質な Web ページにリンクする画像がいくつか確認されました。こうした実効性を伴っていることから、一般のユーザーは悪質な Web サイトに対して無防備になります。幸い、このようなサイトが検出された場合の検索エンジンの対応は迅速なので、攻撃はただちにブロックされます。

攻撃の手は広がっているものの、この攻撃はソーシャルエンジニアリングを利用するもので、ユーザーが検索結果を確認し、実行可能ファイルをダウンロードして実行する必要があります。やはり、良識が最大の予防策です。信頼できないファイル、特に「あなたはたくさんのトロイの木馬に感染しています」と警告している発行元からのファイルは実行しないことです。疑わしい場合には、さらに詳しく検索するか、信頼できる既知の正当な会社のソフトウェアだけをインストールするようにしてください。シマンテックのウイルス対策製品のウイルス対策と IPS シグネチャを最新の状態にしておくことも、この攻撃を防止するうえで有効な手段となります。

謝辞:
http://isc.sans.edu/diary.html?storyid=9418