セキュリティ企業のトレンドマイクロによると、東北地方太平洋沖地震発生後に早速、SEOポイズニングによる攻撃サイトの存在が確認されたという。

その中の1つは、検索キーワード「Most Recent Earthquake in Japan」で検索した時に、ユーザを偽セキュリティソフト型不正プログラム「FAKEAV」に誘導するものだった。同社のセキュリティ製品では、「TROJ_FAKEAV.PB」として検出できるという。

セキュリティ企業のWebsenseも地震発生直後にSEOポイズニング攻撃を確認しているほか、電子メールで寄付を呼び掛けてマルウェア配布サイトへ誘導を行う手口や、原発機器に関するアドバイスと称して、マルウェアに感染させるためのファイルを添付しているケースもあったという。

また、2011年3月12日から13日にかけ、「earthquake」 「japan」「tsunami」「relief」「disaster」「fund」「donation」などの言葉が含まれるドメインが少なくとも 100件登録されたことが確認されている。被災者への援助や募金を募る正当な目的で開設されるサイトもあるだろうが、一方で気分金を募るフィッシングサイトとして悪用されるサイトが多数出現する可能性もある。

2008年の中国・四川大地震や2010年のハイチ大地震など、大災害が発生した時にはいつもSEOポイズニングを駆使したフィッシングサイトが出現しており、トレンドマイクロ社ではサイバー犯罪といった不正活動を監視しているという。

東北地方太平洋沖地震に便乗した偽サイト、大量出現のおそれ

http://blog.trendmicro.co.jp/archives/3988

東北地方太平洋沖地震に便乗したSEOポイズニングを確認。「FAKEAV」へと誘導

http://blog.trendmicro.co.jp/archives/3981

#

世界的な関心を集める出来事が発生した場合は特に、SEOポイズニング攻撃が行いやすくなっています。GoogleやBingが取り組むリアルタイム検索は、従来のシグナルとは異なる、最新の適合する情報を検出するためのシグナルを用いていますが、そのシグナルは信頼性を判断するには決して十分なわけではありません。特に、こうした攻撃に備えて、あらかじめストックしておいたドメインが活用された場合、SEOポイズニングの成功率は高まります。

一方、たとえばGoogle（google.com）にログインした状態で tsunami や japan earthquake 、donation といったキーワードを組み合わせて検索すると、ソーシャル検索がウェブ検索に融合され、友人や知人の共有状況が判断できるため、所属するソーシャルグラフの性質によっては、比較的信頼のおけるサイトの判断がしやすいのではないかという印象を受けました。

"ソーシャルグラフの性質によっては" とは、たとえば友人・知人の中に、情報ソースや真偽を確認せずにとりあえずRTしてしまうような人物が多数紛れているような場合を指します。