SEOポイズニングとは、偽サイトに誘導してマルウェアに感染させたり、個人情報を抜き取ったりするサイバー攻撃のことです。
Web制作やコーポレートサイトを運営している企業にとって、SEOポイズニングは脅威となります。年を追うごとにその手口は巧妙化しているため、気づかぬうちに被害が拡大しているケースも少なくありません。
特にサイト管理者は、SEOポイズニングを放置していると、自社のみならずステークホルダーにも多大な損害を与える可能性があります。しかし、SEOポイズニングについて理解できておらず、どのように対策すべきかわからない方も多いのではないでしょうか。
今回は、SEOポイズニングについて詳しく解説します。本記事を読むと、SEOポイズニングの仕組みや脅威、回避するためにサイト管理者と一般ユーザーがとるべき対策について理解できます。今後SEOポイズニングの被害に遭わないためにも、ぜひ参考にしてください。
SEOポイズニングはサイバー攻撃の一種
「SEOポイズニング」とは、Webサイトを経由したサイバー攻撃の一種です。攻撃者によって悪意あるページに誘導され、クリックするとマルウェアに感染したり、個人情報が抜き取られたりします。ポイズン(毒)のごとく、検索者をウィルス感染や情報漏洩によって被毒させて利益を貪る犯罪行為です。
Googleをはじめとする検索エンジンには、独自アルゴリズムによって上質なコンテンツを上位表示させる仕組み(SEO)があります。多くのユーザーは、「上位表示されたWebサイト=信頼性が高い」と信じて疑いません。しかもSEOポイズニングでは、本物そっくりの偽サイトに誘導されるため、騙されていると自覚しないまま被害が拡大するのが一般的です。
攻撃者は、キーワードの過剰使用やクローキングといった「ブラックハットSEO」と呼ばれる不正な手口により、自作または改ざんした偽サイトを上位表示させます。ユーザーがそのサイトを閲覧しても、商品画像が流用されていたりそっくりの文言がコピーされていたりするので、一見しただけでは偽物と気づきません。
なかには、不自然な日本語が使われている、ワードサラダ的なスパムコンテンツが混じっているといった理由で見抜けるケースもあります。しかし、最近ではやり口がより巧妙化しているため、気をつけていても騙される例が後を絶ちません。
SEOポイズニングのよくある3つの仕組みと手口
SEOポイズニングによくある3つの典型パターンは以下の通りです。
- 悪質サイトへのリダイレクト
- タイポスクワッティング
- メモリ上のみに存在可能な不正プログラム
それぞれ詳しく解説するので、対策に役立ててください。
悪質サイトへのリダイレクト
もっともありがちなのが、アクセスしたWebサイトから悪質サイトへ自動的にリダイレクトされるパターンです。なかには、PDFページやリスティング広告でもSEOポイズニングの手口が使われる例があります。
SEOポイズニングの約半数は、偽ショッピングサイトに誘導されるタイプといわれています。ユーザーは、目当ての商品の名前やブランド名を使って検索し、上位表示されたショッピングサイトを本物と思い込んでクリックします。過去に購入した経験がある場合でも、本物そっくりの画面で目当ての商品が表示されると、躊躇わずにそのまま購入してしまうケースが少なくありません。
その結果、クレジット情報を盗まれたり、代金だけ奪われて商品が届かなかったり、注文したものとは異なる粗悪品が届くという被害に見舞われるのです。
タイポスワッティング
タイポスワッティングも偽サイトに誘導するという意味では、上記と同じです。ただ、その手法は、ユーザーのURLの入力ミスを狙うというまったく異なる切り口によるものです。
ありがちな入力ミスを想定し、実際にそのミスがあった場合に事前に作成しておいた偽サイトに誘導します。「URLハイジャッキング」とも呼ばれています。
たとえば、以下のようにドメインやスペル、ハイフンなどの入力ミスを想定して騙す手口です。
- 〜.co.jpを〜.comにする
- barをberにする
- dish-likeをdishlikeにする
SEOポイズニングのターゲットは、仕組み上、検索流入したユーザーのみになります。そのため、URLだけでなく「バッグ」を「バック」というように間違って検索した場合でも、タイポスワッティングの餌食となり得ます。
メモリ上のみに存在可能な不正プログラム
「ネットワークウィルス」や「メモリオンリーマルウェア」などのように、ファイルベースではなく、メモリ上のみに存在する不正プログラムが仕込まれていることがあります。
この場合は、セキュリティソフトによる検出が困難なため、発見が遅れるケースが散見されます。
SEOポイズニングの脅威
ここでは、SEOポイズニングによる脅威について、サイト管理者と一般ユーザーに分けて解説します。
サイト管理者にとっての3つの脅威
サイト管理者にとってのSEOポイズニングの脅威は以下の3点です。
- 間接的な加害者になる
- 信用が失墜する
- アクセス数が激減して経営危機を招く
1.間接的な加害者になる
自社で運営しているWebサイトにSEOポイズニングが仕掛けられた場合、こちらにまったく意図がなくとも、間接的な加害者になる恐れがあります。
2.信用が失墜する
SEOポイズニングによってユーザーに偽造品や粗悪品が届き、それを自社製品と勘違いされると、自社への信用が失墜します。
3.アクセス数が激減して経営危機を招く
Googleをはじめとする検索エンジンでは、Webサイトに絡んで不審なアクティビティが検知された場合、検索順位を意図的に下げる次善策が取られることがあります。
つまり、SEOポイズニングのターゲットになると、そのつながりで悪意があると疑われて、自社サイトの検索順位が大幅に下げられるリスクがあるのです。
一般ユーザーにとっての2つの脅威
一般ユーザーにとっての脅威は以下の2点です。
- 情報が盗まれる
- 不要な商品や粗悪品が届く
1.個人情報が盗まれる
偽サイトに誘導され、そこで買い物などをすると、氏名、年齢、住所、職業、クレジット情報、メールアドレス、ログインIDやパスワードといった個人情報が漏出する可能性があります。
とりわけ恐れるべきは、クレジットカードの不正利用です。SEOポイズニングでもっとも多いのが、偽ショッピングサイトへの誘導です。
総務省の報告では、2022年のクレジットカード不正使用の被害額は437億円にのぼり、前年比で100億円も増加しています。巧妙に作られた偽サイトによって騙される手口は年を追うごとに増えているため、適切な対策が急がれます。
2.不要な商品や粗悪品が届く
偽サイトでショッピングをすると、最悪の場合は代金だけ取られて商品が届きません。また、届いても注文したものとまったく異なるアイテムだったり、本物に似せた粗悪品だったりすることもあります。問い合わせても販売者とは連絡がつかず、泣き寝入りするほかないのです。
SEOポイズニングを回避する対策
ここからは、SEOポイズニングを回避するための具体的な対策について紹介しましょう。サイト管理者と一般ユーザーに分けて解説するので、該当部分を参考にしてすぐにでも対策に万全を期してください。
サイト管理者がすべき6つの対策
サイト管理者がすべき対策は、以下の6点です。
- 改ざん箇所をモニタリングする
- 従業員にセキュリティ教育を行う
- 管理者IDとパスワードを変更する
- 二要素認証を導入する
- セキュリティソフトを最新にする
- SEOコンサルタントを活用する
1.改ざん箇所をモニタリングする
SEOポイズニングの被害を回避するには、自社サイトが改ざんされていないかを定期的にチェックすることが大切です。
まず、正規のURLや社名などで検索をし、正式なページが表示されるかを確認します。また、意図しないコンテンツや設定の変更、虚偽表示などがないかモニタリングします。
2.従業員にセキュリティ教育を行う
専門スタッフだけでなく、少しでも多くの目でモニタリングするに越したことはありません。したがって、従業員全員にセキュリティ教育を徹底するのがおすすめです。
セキュリティ教育は、SEOポイズニングをはじめとするサイバー攻撃のリスクやパターンについてマニュアルを作成したうえで実施しましょう。
3.管理者IDとパスワードを変更する
サイトが改ざんされるのは、不正アクセスを許容しているからです。脆弱性を改善するためにも、管理者IDとパスワードを定期的に変更します。アクセス権限を明確にすると同時に、IDとパスワードの管理方法にも万全を期すようにしましょう。
4.二要素認証を導入する
管理画面へのアクセスに二要素認証を導入するのも非常に有効です。パスワード認証に加えて、認証コードを使うことによりセキュリティを強化します。
認証コードの確認は、SMSか音声通話で行うのが一般的です。
5.セキュリティソフトを最新にする
セキュリティソフトを可能な限り上質なものにし、必ず最新の状態にアップデートしておくようにしましょう。そうすることにより、悪意ある改ざんを防ぐことが可能です。
6.SEOコンサルタントを活用する
社内にセキュリティ人材が不足している、自社システムの脆弱性が気になるという場合は、SEOコンサルタントを頼る方法もあります。ただし、部外者に機密情報が伝わるため、信頼性の高い相手を見つけなければなりません。
一般ユーザーがすべき4つの対策
続いて、一般ユーザーがすべき対策は以下の4点になります。
- 意図しないページが表示されたらブラウザバックする
- 極力ブックマークからアクセスする
- 二要素認証を利用する
- 良質なセキュリティソフトを使う
1.意図しないページが表示されたらブラウザバックする
あるWebサイトにアクセスした際にまったく意図しないページが表示されるクローキングは、一目見ただけで違和感を覚えることが多いです。そのため、おかしいと感じたらすぐにブラウザバックし、二度とアクセスしないようにしてください。
2.極力ブックマークからアクセスする
SEOポイズニングは、検索流入するユーザーがターゲットになります。したがって、よく利用するサイトはブックマークしておいて、そこからアクセスするように習慣づけると良いでしょう。
3.二要素認証を利用する
Amazonや楽天をはじめとする主要ECサイトやユーザー数が多い人気ショップサイトなどは、すでに二要素認証を導入しておりその動きは拡大しています。つまり、IDとパスワードだけでは買い物が完了せず、第三者が別端末からログインしようとしても認証コードやワンタイムパスワードによる確認プロセスが必須となるので、不正利用できません。
4.良質なセキュリティソフトを使う
良質なセキュリティソフトを導入すると、SEOポイズニングによって悪質なサイトに誘導された場合に警告が表示されたり、アクセスが遮断されたりします。今一度、セキュリティソフトが機能しているか、そのクオリティについても確認し直すようにしてください。
また、OSを最新バージョンにアップデートしておくことも忘れないようにしましょう。
まとめ
SEOポイズニングとは、偽サイトに誘導してマルウェアに感染させたり、個人情報を抜き取ったりするサイバー攻撃のことです。Webサイトを運営する企業にとって、SEOポイズニングを軽視するのは危険です。もしターゲットにされた場合は、自社のみならずユーザーや取引先といったステークホルダーにまで多大な損害が及ぶ可能性があります。
また、一般ユーザーも個人情報が盗まれると、クレジットカードを不正利用されたり、なりすましによってあらぬ疑いをかけられたりする恐れがあるので要注意です。
今この瞬間にもSEOポイズニングの脅威が迫っているかもしれません。それぞれの立場で可能な限り対策を講じ、SEOポイズニングの被害を回避するように努めましょう。
