はじめに

 

 

 

今年3月、リクルートテクノロジーズ社が偽サイトへの誘導を目的としたSEOポイズニングに関する記事を公開しました。

 

 

recruit-tech.co.jp

 

 

脆弱性を突くなどして他のサイトに検索エンジン(Google等)のクローラのみがアクセスできるページを不正に設置し、このページを踏み台として攻撃者が運用する偽サイトにユーザを誘導しようとする試みに関する記事です。

 

同様の試みは、現在も活発に行われています。

 

本記事では、SEOポイズニングの手法を使用した偽ECサイトに関して、現時点で確認できていることを纏めてみたいと思います。

 

 

SEOポイズニングの手法について

 

 

偽ECサイトへの踏み台として不正に設置されるページは、日本国内で一般的に認知されている組織のWebサイトをコピーしたもののようです。

 

検索エンジンで、このようなWebサイトのCopyright部分をキーワードとして検索すると、怪しげなページが山ほど出てきます。

 

例えば検察庁の公式サイトには、

"Copyright (C) Public Prosecutors Office. All Rights Reserved."

という記載があります。

 

 

この部分をキーワードとして検索エンジンで検索すると、このような結果が表示されました。

 (検察庁ドメインである"kensatsu.go.jp"は検索結果から除外しています)

 

 

 

さまざまな商品を取り扱ったページが検索結果として表示されています。

いずれも検察庁のCopyright表記が含まれています。

 

続いて、日本銀行の公式サイトのCopyright部分をキーワードとして同じような検索を行ってみます。

 

 

 

検察庁と同様、商品を紹介するようなページが検索結果として表示されています。

 

これらのページに実際にアクセスしてみると、

 

 

 

 

 

 

 

文言が微妙に異なりますが、同じような造りのサイトに誘導されます。

 

ここでは、オレンジ色を主体としたサイトのキャプチャを記載しましたが、他にも赤色や紫色を主体としたサイトも存在します。

 (会社概要に記載された情報は公開情報であるため、マスキングは行いませんでした。)

 

先ほど記載した検察庁のCopyright部分をキーワードとして検索した結果の中で、気になる文言がありました。

 

{yahoojp}jnice01-yyp07-wl-zd

 

 という文言です。

 

この文言をキーワードにして検索してみます。

 

 

このキーワードで検索を行うと、420万件以上のページがリストアップされました。

いずれも、商品を紹介するページに誘導するものに見えます。

 

これらの商品紹介ページのGoogleキャッシュを見てみます。

 

とある商品紹介ページのGoogleキャッシュです。 

 

 

 

 

 

 

 

ページ下部に、

"Copyright c TOYOTA MOTOR HOKKADO.INC. All Rights Reserved."

という記載があります。

 

 

確認したところ、このCopyright表記は、トヨタ自動車北海道株式会社のWebサイトに記載されているものと同じでした。

 

 

 

 

 

 

どうやら、既存の正規のWebサイトに商品紹介の文言を追記したWebページを作成し、ユーザエージェントが検索エンジンのクローラ であった場合のみ、このページを応答として返却しているようです。

 

 

正しい日本語で記載されたWebページを模倣することで、SEOの効果を狙ったものだと思われます。

 

 

偽ECサイトの正体

 

 

このようなSEOポイズニングの手法により誘導されるサイトを確認したところ、いずれもCloudFlare配下に存在しており、その実態を確認することが困難です。

 

そこで、偽ECサイトの自動返信メールのヘッダ情報から正体を見てみたいと思います。

 

自動返信メールの送信元は、

 

<hiramotoshin@gmail.com>

 

でした。

 

このメールアドレスは、偽ECサイトの会社概要のメールアドレスと一致しています。

 

そして、初っ端のReceived: ヘッダを見ると、

 

Received: from www.legendzhgb.top (mail1.aipaltn.info. [192.187.114.90])

 

とありました。

 

偽サイトとして表に出ているFQDN(www.legendzhgb.top)は、mail1.aipaltn.infoというホストからメールを送信しています。

このメールは、GmailのSMTPサーバに対してリレーしていることが確認できています。

 

 

Whoisで確認したところ、偽サイトの表のFQDNはCloudFlare配下にあり、オリジンサーバのIPアドレスは確認できませんでした。

 

そして、当該ドメインの所有者には日本人と思わしき氏名がありました。

 

 

 

続いて、mail1.aipaltn.info. [192.187.114.90]) についてです。

 

このサーバは、Cloudflareの裏に隠れている偽ECサイトの正体であると思われます。

 

このドメインのWhois情報を確認すると、ここにも日本人と思わしき氏名が現れました。

 

 

 

 

この登録者情報には複数のドメインが紐付けられています。

 

ifulpicy.info

imnontn.info

lapfion.info

lhamibn.info

ljojytn.info

ulkimgn.info

utifugn.info

 

実際に、偽ECサイトの正体と思わしきサイトにアクセスしてみます。

 

 

 

 

 

もろに中国語ですね。

 

このサーバに対して、CloudFlareに守られている表サイトのFQDNをhostヘッダに設定したHTTPリクエストを送信すると、偽ECサイトのコンテンツが応答として返却されました。

 

 

CloudFlareの裏に隠れているオリジンサイトは、現状1サイト(mail1.aipaltn.info)のみが稼働しています。

その他のサイトは名前解決が不能な状態でした。

 

 

 

またまた無理やりまとめ

 

 

偽サイトはCloudFlareで隠蔽しながら、自動返信メールでオリジンのFQDNを晒すという、間抜けな構成が明らかになりました。

 

商品名などを使用した通常のキーワード検索ではこれら偽サイトが上位に表示されることがないことから、日々サイト改竄を行い踏み台ページを設置している割には、SEOの効果が現れているとは言い難い状況です。

 

あまりに稚拙な造りであるため、何か特別な意味をもってこの偽サイトが運用されているのではないかとも思えてきます。

 

何れにしても、冒頭に掲載したフォーマットのサイトにたどり着いた場合は、即刻立ち去るのが賢明だと思われます。

 

 

以上

 

 

2018年7月29日

初版作成