SEMリサーチ

SEMリサーチ

WordPressの脆弱性をついたSEOスパムが増加中 注意を

2015年1月10日前後と同1月20日前後を中心に、WordPress の脆弱性をついたSEOスパムが急増している。Google ペイデイローンアルゴリズムが想定していた、スパム汚染が酷いキーワード(洋服、靴、雑貨等のブランド、例えばグッチやエルメス、ティファニー)が本件のターゲットになっている。

不正なウェブページへリンクを供給するSEOスパムページ。ページそのものスパムはキーワード繰り返し等の古典的なもの

問題のページのスクリーンショット。不正なウェブページへリンクを供給するSEOスパムページ。ページそのものスパムはキーワード繰り返し等の古典的なもの

WordPress の /wp-includes 等に不正なページを設置

WordPressをインストールした時に作成される3つの主要ディレクトリ、 /wp-content、 /wp-admin、/wp-includes が不正侵入を受けたのが原因で、ウェブスパムに悪用されている。今月に入って確認しているスパムは、バッグや財布などのブランド販売サイトを装った、ネット通販詐欺サイトへ検索利用者を誘導することを狙ったものだ。

例えば、『サンローラン 財布』といった、ブランドとアイテムを掛け合わせた検索キーワードなどで比較的 Google 検索上位に表示されることが確認できる。URLアドレスに wp-content や wp-includes が含まれていることが目印だ。クリックすると、(怪しい)通販サイトへリダイレクトされる。ファイル名やディレクトリ名はランダムに作成されているようだが、今回観測しているスパムは、Nelson-Mandela (ネルソン・マンデラ)というディレクトリ名を多用している。

『$キーワード$ inurl:/wp-includes』や『$キーワード$ inurl:/wp-content』と検索すると(例 『 ナイキ エアフォース1 inurl:/wp-content』『イルビゾンテ inurl:/wp-admin』など)、1月10日前後と同21日前後を中心にハイジャックされた多数のサイトに設置された形跡を観察できる。共通しているのは、ページの左上に青い背景で白抜き A のアイコンがついていること。リンク先は 51.la 。

左上のヘッダー画像は「公益社団法人 青森県緑化推進委員会」を盗用していた</p>
<p>

こちらのスパムページの左上ヘッダー画像は「公益社団法人 青森県緑化推進委員会」から盗用していた

Google経由のアクセスを不正サイトへ誘導

ハイジャックされたWebサイトに埋め込まれたページは、Google 検索経由でアクセスするとターゲットの通販サイトに転送されるが、そのページのURLをブラウザのアドレスバーに直打ち(コピー&ペースト)した場合は普通にページの内容を閲覧することができる。条件付きリダイレクト(Conditional Redirects)含めて内容は使い古された古典的なSEOスパムだが、設置された他の不正ページにリンクを供給することで、いずれかのページが Google検索上位に表示されるように仕掛けをしている。

ページの内容(作りこみ)はランダムで、日本の官公庁や地方自治体のヘッダーやフッターをコピペしたものも発見できた(例 青森県の公式ページのヘッダーを転載したケースなど)。

詐欺サイトそのもの(ドメイン)を検索上位に表示させることは難しいが、本手法のように既存のサイトにターゲットサイトへ誘導(転送)するページを埋め込む方法であれば、ウェブスパマーにとってそれほど難しい仕事ではない。本件のように世界中の不特定多数の不正侵入したWebサイトを組織的にスパムに活用すれば、成功率は上げることができる。

なお、リダイレクト先の通販サイトをチェックしたところ、大半は怪しい日本語、大幅な値引き販売、特定商取引法に基づく表示なし(電話番号や住所の記載なし)、責任者名がいかにもテンプレート的な名前など、詐欺の可能性が高いブランド品の激安通販サイトだったが、一部、普通(?)の通販サイトも含まれていた。

リダイレクトされるブランド品販売サイトの1つ。80%オフなど激安を売りにしているが、会社概要が中国語フォントで記述されていたり、ところどころ怪しい日本語になっている。

ブランド品販売サイトの例。ブランド品だが怪しい位に値段が安い。

標準インストールの日記や掲示板CGIも悪用

今回確認したSEOスパムは古いバージョンのWordPressの脆弱性をついたもののほか、一部の日本国内のホスティングサービスが標準で提供している 日記 (diary)CGI の設定に不備があるものも狙われている。該当Webサイトが利用しているサーバ会社を調査したところ特定グループに偏りがみられた(アルファベット3文字の会社)。

本調査段階で発見した、WordPress や日記CGIに不正アクセスを受けた可能性のある日本国内の法人企業の一部には1月24日に直接電子メールで連絡したものの、26日正午時点でまだ対応されていない(問題のディレクトリが削除されていない)企業も少なくなかった。

商標権者は検索結果ページのレピュテーション管理に意識を

具体的なキーワードは避けるが、ブランドキーワード単体で検索した時に、1位に表示される公式サイトに混ざって(20位以内)不正サイトへ誘導するページが掲載されているケースを確認している。こうした検索結果の放置は自社のブランド棄損につながる恐れがあり、また一般利用者を適切でないページへ誘導してしまうリスク等もあるため、常に検索結果の状態を監視してブランドを保護するための取り組みを行っておきたい。

cf.

[事例] クラッキング&スパムSEOによる検索結果占拠(キーワード:ティファニー 婚約指輪)

#

Takahiro Yamamotoさんに教えていただいたのがきっかけです。ありがとうございました。

COPYRIGHT © 1997-2020 渡辺隆広(わたなべ たかひろ) ALL RIGHTS RESERVED.

SEMリサーチ(www.sem-r.com)に掲載している文章及び図版の無断使用及び転載を禁じます。著作権侵害行為には厳正に対処します。

免責事項:SEMリサーチは、本記事中で触れている企業、商品、サービスの全て(情報)について、有用性、適合性、正確性、安全性、最新性、真実性に関する一切の保証をしておりません。各自の判断でご利用下さい。