検索エンジン最適化(SEO)は、成功しているほぼすべての組織が使用する一般的なマーケティング手法です。しかし、脅威アクターは悪意のある手法を用いて、自身の不法キャンペーンを後押ししています。
*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2023年5月30日付)を翻訳したものです。
検索エンジンの操作
SEOポイズニングとは、検索エンジンのアルゴリズムを悪用したり細工を施したりして、サイトのインデックスやランク付けに影響を与える悪意のある手法です。検索エンジンはキーワード、バックリンクなどのさまざまな要素を利用して、ユーザーのクエリに基づいて表示されるWebサイトの関連性や順序を決定します。
サイバー犯罪者はこの技法を悪用し、何も知らないインターネットユーザーを騙して、侵害されたWebサイトに誘導します。このWebサイトで、ユーザーのシステムはマルウェアに感染する可能性があります。こういった脅威アクターらはよく、被害者の日常の活動に沿ったキーワードを用いて、特定の業界や個人を標的にします。選ばれるキーワードは攻撃者が用いるルアー(囮となる文書や誘い文句など)と一致するように慎重に選択されており、マルウェアのペイロードの名前と一致することが多いです。それぞれの標的に合わせてコンテンツを調整する他のフィッシング攻撃とは異なり、SEOポイズニングキャンペーンでは、一般的に静的なルアーコンテンツが使用されます。
SEOポイズニングキャンペーンで使用される一般的な手口は、偽文書のテンプレートやオフィス用のソフトウェアを用いて、被害者を誘い込むことです。ペイロードは多くの場合、偽アイコンで本物を装っていて、無害なPDFファイルのように見えますが、これを開くとマルウェアが実行されます。しかし場合によっては、ユーザーがダウンロードしようとしているソフトウェアの正規のバージョンとともに、脅威アクターがペイロードをパッケージ化することもあります。
このタイプのサイバー攻撃に関連する一般的な戦術・技術・手順(TTP)が理解しやすいよう、主要なSEOポイズニングキャンペーンを以下に取り上げます。
Gootloader
Gootloaderとは、SEOポイズニングの手法が施された数々のサイトを利用して被害者を感染させるSEOポイズニングキャンペーンです。何も知らないインターネットユーザーがこのWebサイトを訪問すると、埋め込まれたコードが訪問者のIPアドレス、リファラー文字列、一意のサーバーID、ユーザーエージェントを攻撃者のドメインに転送し、ルアーを投入するかどうかを判定します。訪問者が特定の用語を検索していて、所在地も攻撃対象地域内の場合、あるいは特定のオペレーティングシステムを使用している場合、サイトは被害者をリダイレクトさせる代わりに、目立つオーバーレイを作成します。
Gootloaderは、侵害されたWordPressサイトを管理する400台以上の一連のサーバーを運用しています。検索クエリの多くは、医療・ヘルスケア関連組織を標的とするものです。これまでに、Gootloaderへの感染がCobalt Strikeやトロイの木馬Kronos、またREvilランサムウェアの実行に繋がったケースが観測されています。
BATLoader
BATLoaderは、よくSEOポイズニングキャンペーンに関連して使われるマルウェアで、脅威アクターはトロイの木馬化した生産性向上ツールやオフィス用のツールを使ってサイトに被害者を誘い込みます。被害者が検索結果にアクセスすると、BATLoaderのトラフィック配信システムが、訪問者をダウンロードリンクの記載された偽のメッセージボードにリダイレクトさせるかどうかを判定します。
2021年にリークされた情報により、BATLoaderのTTPには、現在活動していないランサムウェアグループContiのTTPとの重複があることが明らかになりました。
関連記事:BatLoaderのキャンペーンで、Redline Stealerを配布するためChatGPTとMidjourneyの偽アプリが利用される
Solarmarker
マルウェアSolarmarkerを用いたSEOポイズニングキャンペーンでは、リモートワーカーを標的とする、さまざまなキーワードが使用されています。Gootloaderと同様に、Solarmakerは侵害されたWordPressサイトにおける、ある武器を利用します。これらのWordPressサイトはそれぞれあるプラグインを使用しており、このプラグインがディレクトリを生成しますが、攻撃者はそこに有害なペイロードをアップロードするのです。多くのケースでSolarmakerのルアーは、ユーザーに偽のPDF文書をダウンロードさせようとします。
サイバー犯罪の永続的なサイクル
SEOポイズニングは今後も人気が上昇し続ける可能性が高いです。またSEOポイズニングは、脅威アクターに安定した初期アクセスベクターを与えるのと同時に、長期間にわたる課題ももたらしています。SEOはたとえ正確に行われていたとしても、順位が日々変化するため、非常に取り扱いの難しいものです。しかし悪意のあるSEOの場合は、ほとんどの検索エンジンが、アルゴリズムの悪用を理由にサイトの順位を落としたり、順位から外したりするため、より不安定です。そのため、サイバー攻撃の永続的なサイクルが生まれます。
自身のサイトが悪意ある行いのために順位から落とされたり、外されたりするようになると、脅威アクターはゼロからサイトを作成して時間を無駄にしないよう、新しく作られたサイトか、オーソリティスコアの高い新しいサイトを盗もうとします。あいにく脅威アクターはこういったことを行うために、主に2つの手段を持っています。
・コンテンツマネジメントシステム(CMS)を攻撃する
脅威アクターは、WordPressなどのコンテンツマネジメントシステムを標的とし、一度に複数のサイトを制御するために一般的な脆弱性を利用します。
・テーマとプラグインにおける脆弱性を悪用する
CMSプラットフォーム上にインストールされたプラグインやテーマには、よく脆弱性が存在します。そのため、脅威アクターは脆弱なサイトにアクセスするために、CMSの管理者パネルへの脆弱なログイン認証情報を悪用しようとする場合があります。
脅威アクターはひとたびサイトにアクセスすると、サイトのコンテンツを変更したり、有害なコードを注入したりすることができます。そして脅威アクターはサイトがシャットダウンされたり、順位から外されたりするまで、将来SEOポイズニングキャンペーンをホストするためにサイトを使い続け、さらなる情報を窃取するためにキャンペーンを推し進めます。
SEOポイズニングへの対策
SEOポイズニングスキームの被害に遭うことを防ぐために、組織はアプリケーションの許可リストを作成し、導入する必要があります。加えて、変化する脅威ランドスケープに応じてユーザー教育の内容を調整することや、マルウェアキャンペーンに使用される一般的なルアーをユーザーに周知することも重要です。SEOポイズニング用のドメインは素早く変化するため、Flashpointはブラウザ内のアクティブなコンテンツをブロックし、リダイレクトやルアーのオーバーレイを防ぐことを推奨します。
さらに、SEOポイズニングを利用したマルウェアキャンペーンに使われるTTPの多くは、最初の感染後も他のマルウェアキャンペーンと類似しています。Flashpointは、.ZIPアーカイブ内の何らかのJavaScript、VBS、.ISO、.MSIまたは.IMGのファイルの実行をめぐる検出スキームを実施することを推奨します。また、グループポリシーの変更を通してJavaScriptおよびVBSファイルとWindowsスクリプトインタプリタ「wscript.exe」の、デフォルトのファイル関連付けを解除することもお勧めします。
CMSプラットフォームに対するリスクをさらに軽減させるために、組織は定期的なセキュリティ監査と強固な脆弱性管理プログラムにより、すべてのテーマとプラグインを最新の状態に保ち、サイトが脅威アクターに悪用されないようにする必要があります。