インド対パキスタン戦を観ようとした、あるネットワーク研究者の何気ない試みが、攻撃者に乗っ取られた europa[.]eu のサブドメインを発見するきっかけとなった。このサブドメインは、SEOスパムと詐欺的なストリーミングサイトへのリダイレクトに悪用されていた。正規の配信サービスではなく、Google は試合の視聴方法を案内すると称する EU 公式ドメイン上のリンクを提示したが、そのリダイレクト先は怪しげなサイトであり、侵害されていたホストが開発サーバーの openapi-dev[.]ema[.]europa[.]eu であることが判明した。
異常な検索結果を隔離環境で開いたところ、研究者はすぐに見抜いた。これは典型的な SEO ポイズニングの手口であり、公式ドメイン上のページには「Here’s Way To Watch(視聴する方法はこちら)」といったタイトルが表示され、訪問者はランダムな詐欺配信サイトへリダイレクトされていた。挙動は時間とともに変化し、エラーやリダイレクト、応答の不整合が見られたが、これはトレンドトピックに動的に追随する大規模 SEO キャンペーンの典型的な特徴である。
URL を分解して調査した結果、それが誰でもアクセス可能な開発サーバーに属しており、攻撃者の手に落ちて「ジャンク」コンテンツの生成に使われていることが分かった。適切な連絡先を探すため、研究者は Twitter に助けを求め、同僚から CERT-EU を紹介された。メールでは、不審な URL を転送し、サーバーの挙動を説明した。CERT-EU は当初、問題の再現に苦労した。悪意あるコンテンツの多くがすでに変化または消失していたためだ。しかし、追加のスクリーンショットや技術的詳細が提供された後、調査を開始した。2025年11月6日、CERT-EU は、脆弱な開発ホストがクリーンアップされ、問題が解決されたことを確認した。
その一方で、研究者はこれが単発の事例ではないことも突き止めた。類似の SEO インジェクションやリダイレクトが、ニュージーランド、米国などの政府・企業ドメイン、さらには michelin.com を含む他の大規模サイトでも確認されたのである。これらの兆候はすべて、脆弱な Web プラットフォームの弱点を突いた、過去の大規模 SEO 攻撃を想起させる広範なキャンペーンを示していた。
筆者は、これは「殿堂入り」するようなケースではないと強調する。重大なバグや RCE が関与していたわけではない。しかし、このような静かな侵害も重要である。大規模ドメインへの信頼を損ない、その評判を悪用して、信頼できる情報源を装った危険なリンクへユーザーを誘導するからだ。防御側にとって、このインシデントは、開発用サブドメインであっても検索エンジンにインデックスされ、攻撃対象となり得て、最終的にはインフラ全体のセキュリティに影響し得るという厳しい教訓となった。
研究者によれば、攻撃者は公開された開発サーバー上で SEO コンテンツを差し替える手段を見つけ、話題性の高い試合などトレンドイベントに合わせてキーワードを定期的に更新しつつ、トラフィックをアフィリエイトサイトや詐欺的なストリーミングサイトへリダイレクトしていた可能性が高いという。彼は、深刻な侵入があったとは考えていない。もしそうであれば、これほど信頼度の高いドメインは、はるかに高度な攻撃に利用されていたはずだと見ている。
結論として彼は、いくつかの教訓を挙げている。テストサーバーも本番環境と同等に厳格に保護すべきであること、SEO スパムは「無害なノイズ」ではなく構造的な弱点の警告サインであること、適切な security.txt は対応時間を短縮し、インシデントレスポンスを加速すること、そして不審な検索結果は必ず確認・報告すべきであり、ときにはそれが実際の侵害の是正につながること、などだ。
単に試合を観たいというささやかな願いから始まった物語は、EU の開発サーバーが正常な状態に戻される結末を迎えた。筆者は冗談めかして「EU を救ったわけではない」と語るが、その一方で、1件の注意深い Google 検索が、微妙ながらも有害な SEO 攻撃からインフラを浄化する一助となったというポジティブな側面が残った。
