フィンランドのセキュリティ企業・エフセキュア(F-Secure)は2010年3月5日、SEOポイズニングの1つとして、PDFファイルを悪用した攻撃事例を報告している。
SEOポイズニングとは、SEO(検索エンジン最適化)を悪用して、話題性や人気のあるキーワードで検索した時に、マルウェアなどを仕込んだ不正なウェブサイトを検索上位に表示させる手法で、検索エンジンを導入口とした悪質な攻撃の1つ。一般のウェブサイトの中に紛れて不正なサイトが表示されるため、気づかずにクリックして訪問するとトロイの木馬に感染させたりPCのファイルを破壊するなどの攻撃が行われてしまう。近年は大地震などの自然災害や注目度の高い商品・サービスの発表など、検索数が急上昇するキーワードを標的として攻撃が行われる事例が増加している。
エフセキュアが紹介したのは「Morphing PDF」(モーフィングPDF)。検索エンジンがインデックスしたファイルのキャッシュ更新インターバルにタイムラグがあることと、ユーザはPDFファイルを開くことに(HTMLほど)警戒感を持たない心理に着目した攻撃手口だ。まず攻撃者は標的とするキーワードを埋め込んだ無害なPDFファイルを用意して、それを検索エンジンにインデックスする。検索上位に表示されたことを確認したら、ローカルサーバのファイルを不正なコードを埋め込んだHTMLファイルに置き換えてしまう(モーフィング)。ユーザがうっかりクリックすると、不正なサイトへのリダイレクトコードを含んだFlashを実行する、という仕掛けだ。同ページには他のPDFファイルへのリンクが埋め込まれているが、これらも検索エンジンがインデックスすると不正なファイルにモーフィングするようになっていて、巧妙なトリックを循環させている。
これらはPCにセキュリティ対策ソフトがインストールされていれば、防ぐことができる。
モーフィングPDF [エフセキュア]
http://blog.f-secure.jp/archives/50356427.html
cf.
ハイチ大地震に便乗したSEOポイズニング攻撃が横行 - F-Secureら警告 :: SEM R
エフセキュア、Flashによるリダイレクトを利用したSEOポイズニングを報告 :: SEM R
