SEOポイズニング攻撃の増加の波は、Hacklinkとして知られる闇市場プラットフォームによって後押しされている。同プラットフォームは、サイバー犯罪者が侵害された数千のウェブサイトに悪意あるリンクを注入することで、検索エンジンのランキングを乗っ取れるようにしている。
Netcraftの研究者が明らかにしたこの手口は、オンラインギャンブルなどの分野をますます標的にしており、攻撃者は自動化ツールを用いて詐欺コンテンツをGoogle検索結果の上位に押し上げている。
新たな種類の悪用
Hacklinkプラットフォームは、脅威アクターがすでに侵害されたウェブサイトへのアクセス権を閲覧・購入できるようにしている。
そこから、攻撃者はカスタマイズされたキーワードとアンカーテキストを含む、隠されたJavaScriptコードを注入できる。人間の目には見えない一方で、このコードは検索エンジンのクローラーに影響を与えるよう設計されている。その結果、詐欺またはフィッシングのドメインが検索結果でより上位に表示され、しばしば信頼できるブランドよりも上に来る。
このキャンペーンを際立たせているのは、技術的な巧妙さでもある。見つけやすい従来型のサイト改ざんとは異なり、注入されたリンクはソースコード内に埋め込まれ、評判価値を狙って特別に選ばれている。.gov、.edu、そして各種の国別コードTLDで終わるドメインは、ランキングを押し上げる効果があるため重宝されている。
フィッシングキャンペーンがSEOを悪用する方向へどのように進化しているか、詳しく読む: BadIISマルウェアがIISサーバーを悪用してSEO詐欺を実行
攻撃の背後にいる組織化グループ
Neon SEO AcademyとSEOLink(SkylinkSEOとしても知られる)という2つのグループが、これらのサービスを積極的に提供している。
Neon SEO Academyは、15,000以上の侵害ドメインへのアクセス権を持つと報じられており、フィッシングや詐欺キャンペーンでトルコのオンラインギャンブル市場を標的にしている。
「Helen Wood」や「David Kaya」といった工作員が、Telegram、WhatsApp、WeChatなどのプラットフォームを通じてこれらのサービスを調整しているとみられている。
SEOLinkも同様の提供内容を宣伝しており、一括リンク注入やプライベート・ブログ・ネットワーク(PBN)の悪用のためのツールなどを含む。これにより、攻撃的なマーケティングと犯罪行為の境界はさらに曖昧になっている。
これらのSEOポイズニングキャンペーンは通常、以下を伴う:
-
脆弱、またはセキュリティが不十分なウェブサイトへのアクセスを得る
-
キーワード最適化されたリンクを含むJavaScriptまたはHTMLを注入する
-
評判の高いドメインとの関連付けにより、検索結果で詐欺コンテンツを上位に押し上げる
-
疑いを持たないユーザーをフィッシングまたはマルウェアのページへリダイレクトする
-
正規サイトがGoogle検索スニペットでどのように表示されるかを遠隔で改変する
広範なセキュリティ上の影響
このSEOポイズニング手法は、気づかれないウェブサイト侵害から始まることが多い。 注入されたコードは、ユーザーには見えないままGoogleのランキングシグナルを操作する。
さらに厄介なのは、攻撃者が直接的な制御を必要とせずに正規ウェブサイトの検索表示を改変でき、ブランドの健全性とユーザーの信頼に影響を与え得る点だ。
Netcraftによれば、このキャンペーンはサイバー犯罪が、技術的侵害とマーケティング操作を組み合わせる方向へと広くシフトしていることを浮き彫りにしている。
セキュリティ企業は次のように警告した。「オンラインギャンブルのように、信頼とブランドの健全性が最重要となる業界では、影響は深刻になり得ます。これは、銀行、資金調達、暗号資産取引など、検索エンジンを通じて自社サイトを見つけてもらうことに依存する他の業界にも当てはまります」
「サイバー犯罪者がこの技術的能力をいま利用している以上、どの業界も標的になり得ますし、おそらく標的になるでしょう。こうした高度な犯罪的誘い込みが行われる可能性があります。」
これらの脅威に対抗するため、組織にはバックリンクの定期的な監査、脆弱性のパッチ適用、そしてGoogle Search Consoleを通じた検索上の露出の変化の監視が推奨されている。
翻訳元: https://www.infosecurity-magazine.com/news/hacklink-marketplace-fuels-seo/
