不正リンクで悪質なページへ誘導する「SEOポイズニング」とは

検索エンジンの検索結果で上位に表示されていたページにアクセスしたところ、予想していないような別のページに飛ばされてしまったり、スパイウェアやウイルスなどによる攻撃を受けてしまったりした、という被害が報告されています。
これらは「SEOポイズニング」と呼ばれており、サーチエンジンやサイトの安全性を脅かす悪質な攻撃手法です。
対策が難しいSEOポイズニングの概要と、対策方法についてご紹介します。

SEOポイズニングとは

SEOポイズニングとは、SEOを利用して不正サイトの検索順位を上げ、サーチエンジンからの訪問者を別のページに誘導することで、訪問者へ攻撃を仕掛けるという手法のことです。
SEOを利用して不正サイトを表示されやすくするという方法を取って利用者を攻撃することから、SEOを利用した検索結果の汚染、「SEOポイズニング」と呼ばれています。

SEOが汚染される仕組み

SEOとは、GoogleやYahooなどの検索エンジンの検索結果の上位に、特定のサイトを表示させるための最適化のことです。
このSEOを実施することで狙ったページを検索結果の上位に表示させることが可能となるのですが、この方法を悪用すると、悪質なプログラムや不正な動作をするマルウェアを仕込んだページを検索結果ページの上位に表示させることができてしまいます。

特にSEOポイズニングされたページは、検索エンジンスパムと呼ばれる悪質な方法を用いて自身のページを検索結果上位に表示させていることも多いです。
そのため、正しい検索結果を見たいという訪問者の利便性を阻害してしまうことも少なくありません。

トップページに不正リンクを貼る

SEOポイズニングのもう一つの特徴は、自身のページを検索結果の上位に表示して誘い込んだ訪問者を、リダイレクトなどの手段で無関係なサイトに誘導することです。
誘導先は詐欺サイトやPCを攻撃するためのウイルスが仕込まれているサイトであることがほとんどです。

特に悪質なものになると、訪問者のPCの情報を抜き取ったり、遠隔操作して攻撃の踏み台にしたりするために、偽のウイルス検知画面を表示させて、誘導先のページに仕込まれたスパイウェアやトロイの木馬をダウンロードするように仕向けてくることもあります。

フィッシング詐欺との違いは？

偽サイトを用意して、個人情報の入力やスパイウェアのダウンロードをさせることを目的とした詐欺の手法のことを、フィッシング詐欺と呼びます。
偽のページを用意して、アクセスしてきた訪問者の情報を抜き取る、という点で、SEOポイズニングとフィッシング詐欺は非常によく似ています。
フィッシング詐欺とSEOポイズニングの違いは、偽サイトにアクセスするまでにサーチエンジンを介しているか否か、という点です。

フィッシング詐欺の偽サイトは、ほとんどが電子メールやSNSなどを介して送られてきます。送信者も企業や銀行名などを騙っている場合が多いです。
接続先の偽サイトのURLを記載し、直接アクセスさせることで、住所や氏名、クレジットカード番号などの重要な個人情報の収集を狙います。

一方、SEOポイズニングは、不正なSEO手法などを駆使して偽サイトのトップページを検索結果に表示させることで、その単語で検索をかけてきた訪問者を誘導します。
フィッシング詐欺には引っかからない人も、検索で出てきたページには警戒していないことも多いため、検索結果上位のページは安全である、という心理的な盲点を突いているのが特徴です。

実際にSEOポイズニングが起きた事例

では、特定の検索ワードでSEOポイズニングが起きてしまうと、どのような影響があるでしょうか。実際にSEOポイズニングが起きた過去の事例をご紹介します。

ショッピングサイトのSEOポイズニング

2015年2月、デンマークやスウェーデン、ノルウェーなどの北欧諸国のドメインを持った複数のWebサイトへ不正侵入があり、そのサイトに訪問すると不正なショッピングサイトへ誘導されるというSEOポイズニング事例が発生しました。

このとき狙われた検索ワードは、「ベビーカー」「ベビー用品のブランド名」など複数の検索ワードでした。
「ベビーカー　コンビ」などのブランド名とアイテムの組み合わせでも不正サイトが表示されるようになっており、実際に検索結果の2ページ目に不正サイトへの誘導リンクが施されたページが複数件ヒットしていました。

寄付金や義援金を狙ってページを作る場合も

2010年に発生したハイチ大地震の際にもSEOポイズニングが発生し、検索エンジンによる検索結果の上位に不正なページが表示されるという事例が起こりました。
SEOポイズニングは特定のワードを狙い撃ちして一度に複数件発生してくることが多く、このときも「haiti earthquake donation」という検索結果ページの上位6件が不正サイトだったという報告が上がっており、米連邦捜査局が注意を呼び掛けていました。

SEOポイズニングは前述のような通販サイトだけでなく、災害時の寄付金や義援金を狙って発生することもあります。
災害寄付金や義援金をインターネットから送る際には、相手の組織をきちんと確認し、運営元がよくわからないサイトからは早々に立ち去るようにしましょう。

SEOポイズニングの被害に遭わないためには

古典的な手法でありながら、未だ対策が難しく、被害がなくならないSEOポイズニング。被害に遭わないためには、どのようなことに気を付ければ良いのでしょうか。

セキュリティ対策を怠らない

SEOポイズニングの対策としてまず重要なのは、セキュリティ対策を怠らないことです。
SEOポイズニングに使われるトップページには、セキュリティソフトが「安全」という判断を下してしまうことがあります。

しかし、その後リダイレクトで飛ばされたサイト内にマルウェアなどが潜んでいた場合、セキュリティソフトの設定を最新にしていれば攻撃を防げる可能性は高いです。
SEOポイズニングは、検索結果で出てくるページは安全なページだ、という心理的な盲点を突いてきます。
セキュリティソフトで不正サイトを見抜けない可能性があるからこそ、攻撃されたときの備えを万全にしておくことが大切です。

コピーサイトには要注意

不正サイトの中には、高い順位の検索結果に表示されているページのデザインをそのまま流用し、コピーサイトとしてオリジナルのサイトよりも上位に表示させることで訪問者を引き入れるという方法を取っているものもあります。

自社ページを持っている場合、コピーサイトを作られていないか、関連キーワードの検索で不審なページが出てきたりしていないかを定期的に確認しておくと、SEOポイズニングの早期発見につながります。
定期的にドメインがおかしなページがないか、デザインが盗作されているページがないか、検索エンジンで検索して確認しておくことが重要です。

まとめ

SEOポイズニングは、古典的な手法でありながら、未だに被害報告が上がり続けています。
また、近年はPDFファイルを利用したクローキングや、メモリ上のみで動作する不正プログラムを利用した手法など、攻撃方法もより気づかれにくく、巧妙な形へと変化してきました。

SEOポイズニングを仕掛けてくる側は、「検索結果のページは安全である」という心理的な安心感を逆手に取って攻撃してきます。不審なドメインや運営者のよくわからないページを発見したら、不用意にアクセスしないで管理者に報告しましょう。