Digital Arts Security Reports

2020/01/16   
改ざんサイト    サイバー攻撃    i-FILTER   

『踏み台』利用される改ざんサイトの脅威、Webサイト管理者や利用者が改ざんに気付きにくい仕掛け

デジタルアーツでは、日々改ざんされたWebサイト(以下「改ざんサイト」)の収集・調査を行っています。2019年12月には851件の改ざんサイトを検知しており、お客様がアクセスを試みた回数は10,358回を観測しています(※)。改ざんサイトには36件もの日本サイトが含まれていました。

弊社調べによる保有データにて調査を行ったところ、「日本の法人が所有するWebサイト」のうち、改ざんされた履歴を持つWebサイトは少なくとも「約0.03%(3,000件に1件の割合)」存在することが分かりました。法人の規模は大小様々です。改ざんされていないWebサイトも脆弱な部分がある場合は次のターゲットになり得ます。

改ざんサイトは管理者の意図しない挙動をしており、アクセスしてしまうと非常に危険です。また、一度改ざんされたことのあるWebサイトは何度も狙われることがあり、対応したつもりが管理者の気づかないところで様々なサイバー攻撃に利用されている可能性があります。

【図1】Webサイトで起こるトラブル
【図1】Webサイトで起こるトラブル

※ 「i-FILTER」Ver.10ご利用中のお客様が改ざんサイトにアクセスを試み、ブロックした回数です。

改ざんサイトを踏み台とした偽ショッピングサイトへのリダイレクト

2019年12月に観測した改ざんサイトのうち最も多かったものは、

「検索エンジン経由でアクセスした際に偽ショッピングサイト(※)へリダイレクトされてしまう」という内容です。

この改ざんでは、「SEOポイズニング」と呼ばれる手法を用いて商品名や商品の紹介などに用いられる文言を多用して検索エンジンの上位に改ざんサイトURLを表示させ、検索結果からアクセスしたユーザーを偽ショッピングサイトへリダイレクトさせていました。

※「偽サイト」「偽ECサイト」「なりすましECサイト」などと呼ばれることもあります。

検索エンジンからアクセスした場合のみ偽ショッピングサイトへ

検索エンジンで検索をした際に、とある日本の学校法人が運営する幼稚園のホームページのURL(hxxp://●●●●.ac.jp/)が、ショッピングサイトのような文字列とともにインデックスされているという例がありました。

【図2】(hxxp://●●●●.ac.jp/)の検索結果
【図2】(hxxp://●●●●.ac.jp/)の検索結果

このインデックスされているURLのうちのひとつ(hxxp://●●●●.ac.jp/)に着目してみます。

同じURLでも挙動に違いがある

【図3】は検索エンジンを経由せず、ブックマークやアドレスバーにURLを入力してWebブラウザーで該当のURLに直接アクセスしたもの。

【図4】は検索エンジンにインデックスされたURLにアクセスしたものです。

【図3】直接アクセスでは問題なく正規コンテンツが表示
【図3】直接アクセスでは問題なく正規コンテンツが表示
【図4】検索エンジン経由でアクセスするとショッピングサイトのようなページが表示
【図4】検索エンジン経由でアクセスするとショッピングサイトのようなページが表示

後者では、アクセスするとショッピングサイトのようなページが表示されました。アドレスバーのURLを見ると、まったく別のURLへとリダイレクトしていることがわかります

①検索エンジンからアクセスしたURL
(hxxp://●●●●.ac.jp/access/)
↓
②表示された偽ショッピングサイトURL
(hxxp://▲▲▲▲.online/index.php?main_page=product_info&products_id=28955

これは、HTTPリファラ(どこからURLにアクセスしてきたのか)が検索エンジンであった場合にだけ、挙動を変えるように攻撃者が設定しているのです。

偽ショッピングサイトへのリダイレクトを目的としたレスポンスの例

検索エンジンを経由して改ざんサイトにアクセスをすると、偽ショッピングサイトへのリダイレクトを目的としたレスポンスが返されます。

そのレスポンスの一例を紹介します。

HTMLタグによるリダイレクト
【図4】検索エンジン経由でアクセスするとショッピングサイトのようなページが表示
JavaScriptによるリダイレクト
JavaScriptによるリダイレクト
<script>タグに対応したブラウザかを判別した後、JavaScriptまたはHTMLタグでリダイレクト
<script>タグに対応したブラウザかを判別した後、JavaScriptまたはHTMLタグでリダイレクト

なぜこのような仕組みを用いるのか

「検索エンジン経由でアクセスしたのか、そうでないか」で異なる挙動をすることがわかりましたが、なぜこのような仕組みを用いるのでしょうか。

それには、一般的にWebサイトの管理者は、ブックマークなどから直接URLにアクセスすることが多いということがあるでしょう。検索エンジンを経由した場合のみ偽ショッピングサイトへリダイレクトさせることで、Webサイトの管理者に発見させにくくしていると考えられます。

【図5】踏み台へアクセスした際の挙動・攻撃者の意図
【図5】踏み台へアクセスした際の挙動・攻撃者の意図

最後に

このように攻撃者は、「SEOポイズニング」と「改ざんサイト」を用いて偽ショッピングサイトへ誘導し、多くのインターネット利用者に詐欺被害を発生させています。また改ざんサイトは、被害を受けているだけでなく攻撃者によって「踏み台」として利用されているため、つまりは間接的に攻撃に加担してしまっているともいえるでしょう。

今回は偽ショッピングコンテンツが設置された改ざんサイトについてご紹介しましたが、インターネット利用者が注意すべき偽サイトはこれだけではありません。

「SEOポイズニング」は偽ショッピングサイトへの遷移のみならず、過去には偽のウイルス対策ソフトをインストールさせるために用いられた事例もあり、今後も様々な手法が用いられることが考えられます。

2020年は東京オリンピックが開催されます。

例えば「オリンピック チケット」と検索するだけで検索結果の上位に表示されてしまった場合、このような偽サイトを公式販売サイトと誤認しチケットを購入してしまう、といった被害も考えられます。

被害に遭わないためには、アクセスしているURLが公式なものであるか、アクセスする際に不審なリダイレクトが行われないかなど、利用者側も注意が必要です。

デジタルアーツでは

デジタルアーツでは、日々改ざんサイトの収集・調査を行っております。「i-FILTER」Ver.10ではお客様の安全を考慮し、[改ざんサイト]カテゴリ(※)で登録を行っているため、アクセスを防ぐことができます。

偽ショッピングサイトに関しては攻撃者がドメインを用意しているケースを多く観測しておりますが、ホワイトリスト方式のDBでは安全と確認されたURLをDBに登録しており、DBに登録されていないURLはアクセス禁止となります。これにより偽ショッピングサイトを含む未知のURLもブロックが可能となり、ユーザーを危険な状態のサイトにアクセスしてしまうことから防ぎます。

また、無償の情報提供サービス「Dアラート」にて弊社製品を利用している・いないに関わらず、改ざんされてしまっている正規サイトの管理者に対して注意喚起を行っています。

※「i-FILTER」Ver.10.30以降。以前のバージョンの「i-FILTER」Ver.10では「脅威情報サイト」カテゴリで登録を行っています。

参考情報

本記事で紹介したものは氷山の一角であり、他にも多くの攻撃手口が存在しています。Webサイトの管理者は、安全なWebサイトの構築や運用に関してIPAなどにより指針が示されていますので、今一度、Webサイトのセキュリティをご確認ください。

  1. Digital Arts Security Reports をダウンロード

ダウンロードにはお客様情報の入力が必要となります。

<関連リンク>

「i-FILTER」Ver.10と「m-FILTER」Ver.5は、これまでにない標的型攻撃対策機能を搭載し、外部からの攻撃対策と内部からの流出対策をひとつのソリューションで圧倒的なコストパフォーマンスのもと実現します。

サイバーリスク情報提供「Dアラート」は「i-FILTER」Ver.10、「m-FILTER」Ver.5、「i-FILTER@Cloud」「m-FILTER@Cloud」の機能を利用して、マルウェア感染の疑いのあるお客様や弊社のお客様以外へも感染情報やホームページの改ざん情報をお知らせする、登録不要の無償の情報提供サービスです。