検索エンジン最適化(SEO)ポイズニングと悪意のある広告(マルバタイジング)は、これまで以上に多くの人々が検索エンジンを使用するにつれて大幅に増加しています。SEOポイズニングは個人と企業の両方に影響を及ぼしますが、多くの人はそれがもたらすセキュリティの脅威に気づいていません。

この記事では、SEOポイズニングの仕組み、検知と防止のメカニズム、および緩和戦略について説明します。

SEOポイズニングの定義

SEOポイズニングは、脅威アクターが悪意のあるWebサイトの検索順位を高め、消費者にとってより本物に見えるようにするために使用する手法です。SEOポイズニングは、最上位ヒットが最も信頼できると仮定することで人間の心をだまし、人々が検索結果を注意深く見ていない場合に非常に効果的です。これは、認証情報の盗難、マルウェア感染、経済的損失につながる可能性があります。

脅威アクターは、スピアフィッシングなどの標的型のSEOポイズニングを使用して、IT管理者などの特定のユーザーを追跡することさえあります。この手法により、攻撃者は特定の対象者に対して攻撃をカスタマイズできるため、攻撃の特定と防御がより困難になります。

SEOポイズニングの仕組み

悪意のあるアクターは、SEOポイズニングを達成するためにさまざまな手法を使用します。一般的な方法の1つはタイポスクワッティングで、ブラウザを開いて不注意によるタイプミスのあるWebサイトアドレスを入力したり、スペルミスのあるURLのリンクをクリックしたりする可能性のあるユーザーを標的にします。これらの軽微なユーザーのエラーを悪用するために、攻撃者は正当なドメイン名と同様のドメイン名を登録します。

次の例を考えてみましょう。ユーザーは、検索バーに「team viewer」と入力して、TeamViewer(コンピューターへのリモート接続を可能にするプログラム)を検索します。ユーザーは、URLをよく注意して見ないで最初の結果を開き、マルウェアに感染したファイルをダウンロードするように求める偽のWebサイトにリダイレクトされる可能性があります。

タイポスクワッティングドメインは、検索結果の最上位に表示されることが多く、ユーザーがその結果をクリックする可能性が高くなります。

Search Engine Result

検索エンジンの結果でのSEOポイズニングの例

ブラックハットSEO

ブラックハットSEOとは、キーワードスタッフィング、クローキング、検索ランキング操作、プライベートリンクネットワークの使用など、Webサイトの所有者が検索エンジンによるランクを上げるために使用する非倫理的な戦術を指します。

  • キーワードスタッフィング:無関係なキーワードをWebページのテキスト、メタタグ、またはWebサイトの他の部分に詰め込んで、Webサイトに高いランキングを与えるように検索エンジンのアルゴリズムの判断を誤らせます。
  • クローキング:検索エンジンのクローラーには、リンクがクリックされたときにユーザーに表示される内容とは異なる素材を表示します。この方法は、クローラーにとって好ましい情報を表示する(ユーザーに対しては無関係なコンテンツを表示する)ことにより、検索エンジンのランキングに影響を及ぼします。
  • 検索ランキングの操作:Webサイトのクリックスルー率を人為的に上げて、検索エンジンでのランキングを上げます。この方法では、ボットまたは人間を利用してキーワードを検索し、特定のWebサイトの偽のクリックを生成します。
  • プライベートリンクネットワークの使用:無関係なWebサイトのグループを作成して相互に接続し、メインWebサイトへのバックリンクのネットワークを作成します。これは、合法的なリンク構築の慣行を模倣しようとするものですが、検索エンジンの結果を人為的に向上させる方法でもあります。

最近のSEOポイズニングキャンペーン

2023年1月に、SEOポイズニングまたはマルバタイジングを介して配布された偽インストーラーの複数のインシデントがありました。サイバー犯罪者は、汚染されたGoogle広告を使用して、ブラウザのパスワードや暗号通貨ウォレットなどの情報を盗むPythonベースのマルウェアをドロップしました。

偽インストーラーとSEOポイズニングは、マルウェアを配信する犯罪者の間で依然として人気があります。例えば、最近のインシデントには、機密情報を盗むためにマルウェアをロードしたOBS StudioまたはNotepad ++の偽インストーラーが含まれていました。

SEOポイズニングの検知方法

SEOポイズニングを特定するのは難しい場合がありますが、組織はデジタルリスク監視ツールを使用してタイポスクワッティング検知手順を実装することで、より良い準備ができます。新しい類似URLが作成されるとすぐに、DRMは所有者に関する情報をセキュリティ担当者に通知できます。

悪意のあるURLを検知する別の方法は、侵害の痕跡(IOC)を使用します。URLを含むIOCリストにより、疑わしいWebサイトの振る舞い、異常な検索エンジンのランキング、フィッシング攻撃、Webサイトのトラフィックの予期しない変化、および疑わしいコンテンツに関する証拠を提供できます。リストは、プリエンプティブ検知やブロックのためのウォッチリストまたはブロックリストとして使用できます。

エンドポイントでの検知と対応(EDR)ソリューションは、ユーザーとクライアントの履歴を監視および記録するため、IOCをすばやく特定するための優れた方法です。EDRツールは、フォレンジック分析を実施し、侵害中のすべてのユーザーアクティビティを調査して、悪意のあるファイルのシステムへの入力を特定できます。セキュリティチームは、これらのデータポイントを評価することで、SEOポイズニング攻撃を検知して封じ込めることができます。

SEOポイズニングの防止方法

監視方法だけでなく、組織はSEOポイズニング攻撃を防ぐための積極的な措置を講じることもできます。

ユーザーのセキュリティトレーニングとセキュリティ意識

ユーザーのセキュリティトレーニングとセキュリティ意識は、SEOポイズニング攻撃に対抗する上で重要です。組織は、安全なブラウジング慣行、フィッシングに関する認識、および効果的なエンドポイントセキュリティ対策についてスタッフをトレーニングすることにより、これらの攻撃の餌食になる可能性を下げることができます。

内部セキュリティポスチャ

強固な内部セキュリティポスチャを実装し、既知の悪意のあるサイトをブロックすることは、SEOポイズニング攻撃を防ぐのに役立ちます。組織は、セキュリティソフトウェアを頻繁にアップグレードし、徹底したWebフィルタリング手順を確立することにより、従業員が危険なWebサイトにアクセスするリスクを軽減できます。

異常なSEO結果の開示

異常なSEO結果をセキュリティチームに定期的に開示することで、SEO操作の攻撃を迅速に特定して対応することができます。また、会社が検索エンジンのランキングとオンラインでの評判を予防的に保護できるようにするのにも役立ちます。

SEOポイズニングの軽減方法

SEOポイズニング攻撃のリスクを軽減するために、組織はCrowdStrike Falcon Intelligence Reconなどのタイポスクワッティング検知ツールを使用して、ドメインのバリエーションがすでに他の誰かによって使用されているかどうかを識別できます。