検索エンジンの検索結果を不当に操作し偽サイトへ誘導する手口に注意

検索エンジンは、インターネットに革命をもたらしました。今では「ググる」と言えば検索エンジンを使って何かを調べることだと一般的に理解されていますし、一部の国語辞典にも取り上げられています。日本語以外でも、フランス語（「googler」）やドイツ語（「googeln」）、スペイン語（「googlear」）には同様のスラングがあるようです。
このようにネット生活になくてはならない存在となった検索エンジンですが、当然、これを悪用しようとする輩も現れ、検索結果を単純に信じることはできない状況が発生しているのです。

検索エンジンの歴史

最初の検索エンジンは1990年に登場したArchie（アーキー）と言われています。当時はまだWWWが広まっておらず各サーバに保存されている文書をFTPで入手していたのですが、Archieは世界中のFTPサーバにあるファイルを検索するシステムでした。
1994年にはWWWの広がりとともにディレクトリ型検索エンジンが登場します。ディレクトリ型検索エンジンはインターネット上のサイトを分類し階層構造に整理するもので、初期のYahoo!に採用されていました。Yahoo!は、ディレクトリ型検索エンジンによって利用者を集め、広告収入を主な収益源とし利用者は無料でサービスを利用できる現在のスタイルを確立していきます。
その後、検索エンジンの革命児とも言えるクローラ型検索エンジンが登場します。1993年、Stanford大学の学生だったLarry PageとSergey Brinによって、Googleの前身となるBackrubという検索エンジンが開発され、1997年にGoogleが公開されました。同じ時期に、多くの検索エンジンが登場し、競争が激化していきましたが、その後、高度なアルゴリズムによる検索技術を持つGoogleがシェアを拡大し現在に至っています。

検索エンジンのアルゴリズムと検索エンジン最適化

検索順位を決めるアルゴリズムですが、以下のような要素が考慮されていると言われています。
　① 検索キーワードの一致
　② コンテンツの品質
　③ サイトの信頼性（ドメインやリンク構造などを評価）
　④ 検索ユーザーからの訪問数
　⑤ 検索キーワードの人気度や関連性
　⑥ ページのロード速度

検索エンジンが主流になるにつれて、検索エンジンで上位に表示されることがビジネスにとって決定的な意味を持つようになりました。そこで、検索エンジン最適化（SEO/Search Engine Optimization）と呼ばれる手法が登場します。これは、自社のWebサイトを検索エンジンの上位に表示されるための技術や手法のことを指します。具体的には、検索エンジンのアルゴリズムに合わせて、コンテンツやHTMLコード、外部リンクなどを最適化することで検索結果ページでの表示順位を向上させることを目的としています。

検索エンジンの検索結果を不当操作する手口

検索エンジンの時代になり、サイトへのアクセスはブックマークではなく検索エンジン経由が主流になっていきました。そこで、悪意あるサイトへの誘導に検索エンジンを使う、つまり、検索結果の上位に悪意あるサイトを表示させようとする攻撃者が現れ、実際に上位に表示されてしまう事例が発生するようになりました。攻撃者は、先ほど述べたSEOの手法を悪用し検索エンジンの表示順位を不当に操作するため、この手法はSEOポイズニング（SEO poisoning）と呼ばれています。SEOポイズニングの具体的な方法は大きく３つあります。

一つ目はキーワードスタッフィングと呼ばれている方法で、ページのタグや本文に特定のキーワードを大量に挿入します。さらに、検索エンジンのガイドライン違反なのですがコンテンツの盗用や複製、隠しテキスト、ページの自動生成などを行うこともあります。ただし、これだけでは、先ほど述べた検索エンジンアルゴリズムの「①検索キーワードの一致」の評価は上がるものの「③サイトの信頼性（ドメインやリンク構造などを評価）」の評価は上がらないため、上位に表示させることができない場合が少なくありません。そこで、攻撃者は二つ目の方法を組み合わせることがあります。

二つ目は、多数のサイトに悪意あるサイトへのリンクを張ることで「③サイトの信頼性」の評価を上げようとします。多数のサイトといっても攻撃者が管理するサイトではありませんから普通にリンクを張ってもらう方法は取れません。そこで攻撃者は悪意あるサイトへのリンクを含むメッセージを掲示板などに大量に投稿するのです。いわゆるスパムメッセージと呼ばれるものです。このような迷惑行為を目にした方も多いと思いますが、これは投稿のリンクをクリックさせ悪意あるサイトへ誘導するというよりSEOポイズニングが主目的と考えられます。この方法への対策として検索エンジンは「③サイトの信頼性」においてリンク構造よりドメインやサイト自体の信頼性をより重要視するようになっていきました。そこで攻撃者は次の方法を組み合わせるようになりました。

その三つ目の方法とは、踏み台サイトを経由する方法です。攻撃者は、改ざんできる正規サイトを見つけ出し検索エンジンの表示順位が上がるような改ざんを行います。そして、検索エンジンからこのサイトにアクセスすると犯罪者の用意した悪意あるサイトにリダイレクトするように仕掛けるのです。
SEOポイズニングを施したサイトは正規サイトですから「③サイトの信頼性」の評価は十分です。このような「踏み台」サイトは企業や公共機関、個人ブログ等あらゆるサイトが用いられています。また、日本のサイトだけでなく、世界中のサイトが踏み台として悪用されている状況です。
このように、SEOポイズニングの手法を駆使することで、攻撃者は悪意あるサイトを検索結果のトップに表示させたり、さらには最上位の広告欄に表示させたりすることがあるため、注意する必要があります。

検索エンジン不当操作の事例と対策

このような検索エンジンの検索結果を不当に操作し悪意あるサイトに誘導しようとする手口は以下の事例で発生しています。

偽ショッピングサイトへの誘導

SEOポイズニングの典型的な事例として、以前から恒常的に発生しています。特に「○○　激安　送料無料」といった検索には注意が必要です。ある調査によると、特定のキーワードで検索したところ、検索結果の最初の１ページは全て偽サイトだったということがあったとのことです。

フィッシングサイトへの誘導

2022年10月18日の夜から翌朝にかけてJR東日本の切符予約サービス「えきねっと」のフィッシングサイトが検索結果ページのトップに表示される事態が発生しました。正規サイトと偽サイトのURLはTLD（トップレベルドメイン）が異なるのみで、正規サイトはcomであるが偽サイトはru、つまり、xxxxxx.comが正規サイトxxxxxx.ruが偽サイトということでした。JR東日本が早期に対応したため、19日午前11時にはGoogleの検索結果ページにフィッシングサイトは表示されなくなりました。ちなみに、検索結果ページのトップに表示されたのは「踏み台」サイトではなくフィッシングサイトそのものでした。おそらくフィッシングサイトのURLが正規サイトとTLDが異なるのみだったため、正規サイトと同じ信頼性の評価になったと思われます。

偽インストーラー配布サイトへの誘導

2022年11月から急増している事例で現在も継続しています。正規ソフトを騙ってマルウエアをインストールさせようという手口ですが、7zip、GIMP、Microsoft Teams、Slack、Thunderbird等、著名なソフトウェアを騙った事例が次々と発生しており「○○ download」といった検索には注意が必要な状況です。手口は非常に巧妙で、検索エンジンの広告欄に偽サイトを表示させることに加えて、URLも正規サイトに類似させていることがあります。GIMPの事例では、偽サイトのURLが正規サイトと一見全く同じでした。アルファベットの「i（アイ）」に見せかけキリル文字の 「і(イー)」を使っていたのです。これでは、普通の人は見分けがつきません。

利用者として、このような手口に騙されないための対策ですが、まずは、このような手口が発生しているということを知ることが大切です。しかしながら、手口を知って注意をしているだけでは防ぎ切れないこともあり得るため、以下の対策を行われるといいでしょう。

　① Web ブラウザの広告ブロッカーを有効化する
　② Wikipedia等から正規サイトのURL を入手する
　③ 特定のWeb サイトを頻繁に訪れている場合、その URL をブックマークし、
　　 その後はブックマークからアクセスする

<参考URL＞
Google 広告の悪用：AWS 検索で２番目に表示されるフィッシング・サイトとは？
https://iototsecnews.jp/2023/02/09/malicious-google-ads-sneak-aws-phishing-sites-into-search-results/

Google 検索の広告を悪用：マルウェアを正規のソフトウェアに仕込んで配布
https://iototsecnews.jp/2022/12/28/hackers-abuse-google-ads-to-spread-malware-in-legit-software/