ネット上では、検索エンジン(Google、Yahooなど)の検索順位を不正操作して、利用者を詐欺サイト(偽通販サイトなど)へ誘導する悪質行為が存在しています。
このような行為を「SEOポイズニング」といいます。
SEOポイズニングの中には、検索結果に「踏み台」用のページを表示してそこから詐欺サイトへ飛ばす手法が見られます。
この説明ではイメージが湧かないと思いますので、何種類かに分けて詳しく解説していきます。
これはGoogleで「鉄道 模型 nゲージ 販売店 安い」と検索して、数十番目あたりの検索結果です。
スクリーンショットの一番下の赤丸の場所をご覧下さい。
一見、通販サイトのように見えますが不自然な箇所があります。
ドメイン名「pa-rantau.go.id」の語尾が「go.id」となっていますが、これはインドネシアの政府機関のドメインです。
政府機関のサイトの中に日本の通販サイトがあるとは思えません。
この不自然なページのキャッシュを見ると、通販っぽい文章や画像がグチャグチャに並んでいました。怪しすぎます。
次に、検索結果をクリックすると、キャッシュとは違い「松屋モール」(https://total.quicktam.xyz)という通販サイトらしきサイトにリダイレクトされました。
このサイトについて調べるため、会社概要のページを見ると、運営会社は「株式会社ヒカリ」、住所は「京都府京都市北区 紫野下築山町48」と記載されています。
記載された会社と住所は実在します。
ところが、その住所は昔ながらの長屋が並ぶ路地であり、周りを見渡してもそんな看板はなく、実在する「株式会社ヒカリ」のHPに記載された住所と一致しません。
つまり、この通販サイトは詐欺サイトと見て間違いありません。
もしお金を振り込んでも商品が届かず、お金を騙し取られてしまうでしょう。
最初に示した不自然なページのドメイン名「pa-rantau.go.id」をGoogle検索すると、なんと「第三者にハッキングされている可能性があります」と警告されていました。
このドメイン名はインドネシアにある宗教裁判所のサイトのURLのようです。
しかも、検索結果の2番目以降には最初に示したものと同様の不自然なページが並んでいるではありませんか。
もうお分かりでしょうが、これらの不自然なページは、詐欺サイトへ誘導するためハッキングで埋め込まれた「踏み台」ページなのです。
このタイプの踏み台ページは以下の方法で量産されます。
すると、様々な検索ワードで踏み台ページが検索結果に表示されます。
踏み台ページは2つのタイプがあります。
1つ目は画像や文章がグチャグチャに並ぶものです。
ページタイトルが通販っぽい文言になっており、詐欺通販サイトへリダイレクトされるものが多いです。
2つ目はヘッダーとフッターがあり、本文に文章だけがグチャグチャに連なるものです。
文章の下部には踏み台ページ同士のリンクが並んでいます。
ヘッダーとフッターはハッキングで追加されるものと、元のサイトにあるものが流用されるものがあります。
ページタイトルと見出しは単語の羅列で、偽セキュリティ警告(偽警告)、当選詐欺サイト、ブラウザ通知スパムなどへランダムにリダイレクトされるものが多いです。
偽警告、ブラウザ通知スパムスパム、当選詐欺サイトについてはこちらの記事をご覧下さい。
「Microsoftセキュリティアラーム PCはダイニバンクトロイアに感染しています」などの偽セキュリティ警告(偽警告)について
「ロボットではない場合は[許可]をクリックします 」などと通知許可を求めるブラウザ通知スパムについて
「Chrome検索コンテスト 50億回目の検索を行いました」と表示しiPhoneが当選などと偽る当選詐欺サイトについて
また、踏み台ページには、以下のようにサイト管理者に気づかれにくくする仕掛けがあるものも多いです。
踏み台ページの埋め込みは、脆弱性があれば、どんなサイトでも対象になっています。
例えば
などキリがありません。
詐欺サイトへ飛ばす踏み台ページは、ハッキングによるもの以外に、自前で作られたものがあります。
これはGoogleで「路線図 作成ソフト 無料」と検索して10~20番目あたりの検索結果です。
スクリーンショットの一番下の赤丸の場所をご覧下さい。
一見、アプリのダウンロードページであるように見えます。
しかし、ドメイン名が「yj9qy43.25u.com」というアルファベットと数字が不規則に並んだ文字列で、タイトルが単語の並びになっており、怪しさ満点です。
この検索結果をクリックすると、リダイレクトが起こり、「《許可》をクリックして、ロボットではないことを確認して下さい!」と通知許可を要求するページが表示されました。
これは前の項目で示した「ブラウザ通知スパム」というものです。
その検索結果のリダイレクト前のページを確認すると、どこかのサイトからコピーされたページタイトルと本文、そして画像がたくさん並んでいました。
次に、「yj9qy43.25u.com」のトップページにアクセスすると、背景が真っ白で、その検索結果と同様のページのリンクだけがたくさん並んでいました(スクリーンショットは撮れていません)。
ところで25u.comは一体何のドメイン名なのでしょうか。
調べてみるとChangeIPというDDNSサービス(IPアドレスとドメイン名を結びつけるサービス)で使われるドメイン名であり、ハッキングされたのではありません。
ハッキングではなく、DDNSサービスが詐欺サイトの踏み台ページの作成に悪用されているのです。
このタイプの踏み台ページは、基本的にはハッキングによる踏み台ページと同じですが、以下の点で異なります。
では、なぜダイレクトに詐欺サイトに誘導せず、わざわざ別のページを経由させるのでしょうか。
その理由は以下のように考えられます。
詐欺サイトが検索エンジンの検索結果に表示されると、検索エンジンの会社が気づき次第検索結果から消されます。
すると詐欺サイトのアクセス原を断たれてしまいます。
そこで、使い捨てにできる「踏み台」ページを量産するのです。
他のサイトをハッキングしたりして量産を続ければ、どれか消されてもまだ別の踏み台ページがあるのでアクセス原を断たれずに済みます。
そうすれば、詐欺サイト本体が検索結果から消されてもアクセス源は断たれません。
詐欺サイトの踏み台ページはGoogleなどの検索エンジンの検索結果に潜んでいます。
以下の特徴を知っていればほとんど踏み台ページに引っかからずに済みます。
http://○○○○.me/wp-admin/dorman-trading-ujsi/2c8bc6-漫画-新人賞-つまらない
上のスクリーンショットの赤丸の箇所が踏み台ページの例であり、下のそのURLを示しました。
URLの最後には太字で示したようにページタイトルと同じ単語の羅列があります。
また、下線部のように意味をなさない文字列があることもあります。
このドメイン名は実在のネットメディアのURLでしたので、おそらくハッキングによる埋め込みでしょう。
上のスクリーンショットの赤丸の箇所が踏み台ページの例です。
タイトルの下の説明文を見ると「靴」や「コピー」などの単語が不自然なほど繰り返し使われています。
また、ドメイン名の語尾が.br、.cl、.it、.pl、.tr、.tkなど日本で馴染みの無い海外のものになっていることが多いです。
このURLはトルコ・EU共同の「SME Networking Project」の公式サイトのようですから、こちらもハッキングされ詐欺サイトへのリダイレクトを仕掛けられたのでしょう。
詐欺サイトの踏み台ページを報告したい場合、どうすればいいでしょうか。
ハッキングで埋め込まれた踏み台ページの場合は、サイト管理者に報告するのがベストですが、流石に心理的ハードルが高すぎるでしょう。
自前の踏み台ページの場合は、踏み台サイトに連絡先も何も書いていませんから、サイト管理者に報告するのは無理です。
もっと簡単な報告先があります。それは検索エンジンの会社です。
検索エンジンにはスパム報告をする簡易フォームがあることが多いので、そちらの利用をお勧めします。
Googleの場合はこちらから報告できます。ただし、Googleアカウントが必要です。
サイトのハッキングや不正アクセスというと、個人情報や機密情報を盗み出す行為のイメージがあるかもしれませんが、それは氷山の一角にすぎません。
サイトをハッキングして詐欺サイトへの踏み台ページを埋め込むという手法を知ったとき、サイトの改竄の身近さに驚きました。
ハッキングされたサイトに直接的に害を与えないためか、このタイプのサイト改竄は知名度がとても低いです。
世界中の無数のサイトが知らぬうちにハッキングされ、サイト改竄の被害者になり、同時に詐欺の加害者になってしまっているのです。