SEOポイズニングを目的とした詐欺サイトへ誘導する「踏み台」ページについて

公開: , 更新:
ハッキングされた大学のサイト
ある大学のHPにはハッキングで詐欺サイトへ誘導するページが埋め込まれていた

ネット上では、検索エンジン(Google、Yahooなど)の検索順位を不正操作して、利用者を詐欺サイト(偽通販サイトなど)へ誘導する悪質行為が存在しています。

このような行為を「SEOポイズニング」といいます。

SEOポイズニングの中には、検索結果に「踏み台」用のページを表示してそこから詐欺サイトへ飛ばす手法が見られます。

この説明ではイメージが湧かないと思いますので、何種類かに分けて詳しく解説していきます。

他サイトをハッキングして作られた踏み台ページ

これはGoogleで「鉄道 模型 nゲージ 販売店 安い」と検索して、数十番目あたりの検索結果です。

スクリーンショットの一番下の赤丸の場所をご覧下さい。

一見、通販サイトのように見えますが不自然な箇所があります。

ドメイン名「pa-rantau.go.id」の語尾が「go.id」となっていますが、これはインドネシアの政府機関のドメインです。

政府機関のサイトの中に日本の通販サイトがあるとは思えません。

この不自然なページのキャッシュを見ると、通販っぽい文章や画像がグチャグチャに並んでいました。怪しすぎます。

次に、検索結果をクリックすると、キャッシュとは違い「松屋モール」(https://total.quicktam.xyz)という通販サイトらしきサイトにリダイレクトされました。

このサイトについて調べるため、会社概要のページを見ると、運営会社は「株式会社ヒカリ」、住所は「京都府京都市北区 紫野下築山町48」と記載されています。

記載された会社と住所は実在します。

ところが、その住所は昔ながらの長屋が並ぶ路地であり、周りを見渡してもそんな看板はなく、実在する「株式会社ヒカリ」のHPに記載された住所と一致しません。

つまり、この通販サイトは詐欺サイトと見て間違いありません。

もしお金を振り込んでも商品が届かずお金を騙し取られてしまうでしょう。

最初に示した不自然なページのドメイン名「pa-rantau.go.id」をGoogle検索すると、なんと「第三者にハッキングされている可能性があります」と警告されていました。

このドメイン名はインドネシアにある宗教裁判所のサイトのURLのようです。

しかも、検索結果の2番目以降には最初に示したものと同様の不自然なページが並んでいるではありませんか。

もうお分かりでしょうが、これらの不自然なページは、詐欺サイトへ誘導するためハッキングで埋め込まれた「踏み台」ページなのです。

ハッキングによる踏み台ページの正体

このタイプの踏み台ページは以下の方法で量産されます。

  1. ハッカーが世界中のサイトの脆弱性を突いてハッキングする
  2. サイト改竄またはドメイン名の乗っ取りで、ネット上から自動で収集した文章や画像を並べたページ(踏み台ページ)を大量に埋め込む
  3. 踏み台ページに詐欺サイトへのリダイレクトを設定する
  4. 踏み台ページを検索エンジンに認識させる

すると、様々な検索ワードで踏み台ページが検索結果に表示されます。

踏み台ページは2つのタイプがあります。

1. 画像と文章がグチャグチャに並ぶタイプ

1つ目は画像や文章がグチャグチャに並ぶものです。

ページタイトルが通販っぽい文言になっており、詐欺通販サイトへリダイレクトされるものが多いです。

2. ヘッダーとフッターと本文があるタイプ

ページ全体がハッキングによる埋め込みの例
見出しと本文だけがハッキングによる埋め込みの例

2つ目はヘッダーとフッターがあり本文に文章だけがグチャグチャに連なるものです。

文章の下部には踏み台ページ同士のリンクが並んでいます。

ヘッダーとフッターはハッキングで追加されるものと、元のサイトにあるものが流用されるものがあります。

ページタイトルと見出しは単語の羅列で、偽セキュリティ警告(偽警告)、当選詐欺サイトブラウザ通知スパムなどへランダムにリダイレクトされるものが多いです。

偽警告、ブラウザ通知スパムスパム、当選詐欺サイトについてはこちらの記事をご覧下さい。

「PCはダイニバンクトロイアに感染しています」などと表示する偽警告について

「ロボットではない場合は[許可]をクリックします 」などと通知許可を求めるスパムについて

「Chrome検索コンテスト 50億回目の検索を行いました」とiPhoneの当選などを騙る詐欺サイトについて

また、踏み台ページには、以下のようにサイト管理者に気づかれにくくする仕掛けがあるものも多いです。

  • 検索エンジンからアクセスした時だけ詐欺サイトにリダイレクトさせ、それ以外は404エラーを表示する
  • 検索エンジンのクローラーがアクセスすると踏み台ページを表示し、人間がアクセスすると404エラーを表示する

踏み台ページを埋め込まれるのはどんなサイトか

踏み台ページの埋め込みは、脆弱性があれば、どんなサイトでも対象になっています。

例えば

  • 企業
  • 教育機関
  • 医療機関
  • 研究室
  • 政府機関
  • NPO法人
  • 財団
  • 個人ブログ

などキリがありません。

自前で作られた踏み台ページ

詐欺サイトへ飛ばす踏み台ページは、ハッキングによるもの以外に、自前で作られたものがあります。

これはGoogleで「路線図 作成ソフト 無料」と検索して10~20番目あたりの検索結果です。

スクリーンショットの一番下の赤丸の場所をご覧下さい。

一見、アプリのダウンロードページであるように見えます。

しかし、ドメイン名が「yj9qy43.25u.com」というアルファベットと数字が不規則に並んだ文字列で、タイトルが単語の並びになっており、怪しさ満点です。

《許可》をクリックして、ロボットではないことを確認して下さい!

この検索結果をクリックすると、リダイレクトが起こり、「《許可》をクリックして、ロボットではないことを確認して下さい!」と通知許可を要求するページが表示されました。

これは前の項目で示した「ブラウザ通知スパム」というものです。

yj9qy43.25u.com

その検索結果のリダイレクト前のページを確認すると、どこかのサイトからコピーされたページタイトルと本文、そして画像がたくさん並んでいました。

次に、「yj9qy43.25u.com」のトップページにアクセスすると、背景が真っ白で、その検索結果と同様のページのリンクだけがたくさん並んでいました(スクリーンショットは撮れていません)。

ところで25u.comは一体何のドメイン名なのでしょうか。

調べてみるとChangeIPというDDNSサービス(IPアドレスとドメイン名を結びつけるサービス)で使われるドメイン名であり、ハッキングされたのではありません。

ハッキングではなく、DDNSサービスが詐欺サイトの踏み台ページの作成に悪用されているのです。

自前で作られた踏み台ページの特徴

このタイプの踏み台ページは、基本的にはハッキングによる踏み台ページと同じですが、以下の点で異なります。

  • 踏み台ページを配置するサイトは自前のサーバーを利用しており、DDNSサービスを悪用するものが多い。
  • 検索エンジンでも人間でも同じページを表示するものが多い
  • リダイレクト先は偽通販サイトなど色々あるがブラウザ通知スパムが圧倒的多数である。

詐欺サイトの踏み台ページが量産される理由

では、なぜダイレクトに詐欺サイトに誘導せず、わざわざ別のページを経由させるのでしょうか。

その理由は以下のように考えられます。

詐欺サイトが検索エンジンの検索結果に表示されると、検索エンジンの会社が気づき次第検索結果から消されます

すると詐欺サイトのアクセス原を断たれてしまいます。

そこで、使い捨てにできる「踏み台」ページを量産するのです。

他のサイトをハッキングしたりして量産を続ければ、どれか消されてもまだ別の踏み台ページがあるのでアクセス原を断たれずに済みます。

そうすれば、詐欺サイト本体が検索結果から消されてもアクセス源は断たれません。

詐欺サイトの踏み台ページの見分け方

詐欺サイトの踏み台ページはGoogleなどの検索エンジンの検索結果に潜んでいます。

以下の特徴を知っていればほとんど踏み台ページに引っかからずに済みます。

1. ページタイトルが単語の羅列で、URLにページタイトルの単語がハイフンで繋がっている箇所がある。

http://○○○○.me/wp-admin/dorman-trading-ujsi/2c8bc6-漫画-新人賞-つまらない

上のスクリーンショットの赤丸の箇所が踏み台ページの例であり、下のそのURLを示しました。

URLの最後には太字で示したようにページタイトルと同じ単語の羅列があります。

また、下線部のように意味をなさない文字列があることもあります。

このドメイン名は実在のネットメディアのURLでしたので、おそらくハッキングによる埋め込みでしょう。

2. 通販サイトのようなページタイトルで、説明文に同じキーワードの繰り返しが多い。

上のスクリーンショットの赤丸の箇所が踏み台ページの例です。

タイトルの下の説明文を見ると「靴」や「コピー」などの単語が不自然なほど繰り返し使われています。

また、ドメイン名の語尾が.br.cl.it.pl.tr.tkなど日本で馴染みの無い海外のものになっていることが多いです。

このURLはトルコ・EU共同の「SME Networking Project」の公式サイトのようですから、こちらもハッキングされ詐欺サイトへのリダイレクトを仕掛けられたのでしょう。

踏み台ページの報告先

詐欺サイトの踏み台ページを報告したい場合、どうすればいいでしょうか。

ハッキングで埋め込まれた踏み台ページの場合は、サイト管理者に報告するのがベストですが、流石に心理的ハードルが高すぎるでしょう。

自前の踏み台ページの場合は、踏み台サイトに連絡先も何も書いていませんから、サイト管理者に報告するのは無理です。

もっと簡単な報告先があります。それは検索エンジンの会社です。

検索エンジンにはスパム報告をする簡易フォームがあることが多いので、そちらの利用をお勧めします。

Googleの場合はこちらから報告できます。ただし、Googleアカウントが必要です。

ウェブスパム レポート

最後に

サイトのハッキングや不正アクセスというと、個人情報や機密情報を盗み出す行為のイメージがあるかもしれませんが、それは氷山の一角にすぎません。

サイトをハッキングして詐欺サイトへの踏み台ページを埋め込むという手法を知ったとき、サイトの改竄の身近さに驚きました。

ハッキングされたサイトに直接的に害を与えないためか、このタイプのサイト改竄は知名度がとても低いです。

世界中の無数のサイトが知らぬうちにハッキングされ、サイト改竄の被害者になり、同時に詐欺の加害者になってしまっているのです。

当記事のカテゴリー

コメント (0件)