セキュリティ研究者は、脅威アクターが悪意のあるウェブページを検索結果でより上位に表示させるのを支援するために設計された、大規模なバックリンク・マーケットプレイスを発見した。
FortraのIntelligence and Research Experts(FIRE)は、TelegramとWhatsApp上で「HaxorSEO」または「HxSEO」と呼ばれる活動を確認した。これは、事前に侵害されているものの正規のドメインに対する1000件以上のバックリンクをまとめたGoogleスプレッドシートを提供している。
Fortraは、「これらのドメインは通常15〜20年の運用歴があり、購入したバックリンクが検索エンジンの順位向上にどれほど効果的かを示すための各種『信頼』スコアの選択肢とともに販売されている」と説明した。
「支払いが行われると、グループは正規ドメインに悪意のあるアドレスを含むバックリンクを追加し、購入者が目的を達成できる可能性を高める。」
SEOポイズニングについて詳しく読む:SEOポイズニングが偽ソフトウェアサイトで中国のユーザーを標的に
各正規ウェブサイトは、Haxorがサイトに悪意のあるバックリンクをアップロードできるようにするWebシェルによって侵害されている。脅威アクターはこれらのリンクを購入して自分たちのサイトに挿入することで検索順位を押し上げ、資格情報を窃取したりマルウェアをインストールさせたりすることを目的としたフィッシングページへ、疑いを持たない訪問者を誘導できる。
Fortraによれば、HxSEOが不正な銀行ログインページの最適化に成功したケースでは、模倣元である正規の同等ページよりも高い順位に表示されることさえあったという。
ベンダーはまた、スパム的で権威性の低いサイトにホストされた質の悪いバックリンクを用いることで、模倣対象となっている正規ページのSEOスコアにも悪影響を与えられると主張した。
低コストで大きな影響
この活動は、1掲載あたりわずか6ドルでバックリンクを提供し、侵害されたサイトに必要なコードを自動的に注入するため、脅威アクターにとって非常に魅力的なサービスとなっている。
同社は「これに加えて、検索結果内でバックリンクを見分けることが難しいため、必然的に大規模な攻撃につながる」と警告した。
HxSEOのマーケット自体は、ドメイン/ウェブページの権威性や強さを示す一般的なSEO指標とともに、悪意のあるバックリンクを掲載している。
Fortraは、「ページオーソリティ(PA)、ドメインオーソリティ(DA)、ドメインレーティング(DR)は、SEOポイズニングにおいてそのサイトがどれほど有効かを予測し、特にドメインレーティングは、そのドメインのバックリンク・プロファイルがどれほど効果的かを示す最も強い指標となる」と説明した。
「SS(スパムスコア)は、ドメインがペナルティを受けたりスパムと見なされたりする可能性を推定する。リストには通常、ある時点で100〜150の侵害済みウェブサイトが掲載されており、忘れ去られた学術誌のウェブページが明確に好まれている。」
報告書によると、Hexorチームは主に脆弱なPHPコンポーネントやWordPressプラグインを標的にしており、さまざまなファイルアップロードおよびリモートコード実行のエクスプロイトを用いているという。
ユーザーに注意喚起
検索エンジンはこの種の悪意ある活動を継続的に追跡しているものの、新たなドメインの継続的な供給、最新のバックリンク、コンテンツ更新によって、Hexorのような活動は稼働し続けることができる。さらに、これらのサービスを利用する顧客は、悪意のあるフィッシングサイトが数日から数週間稼働すれば十分である可能性が高いとFortraは述べた。
この脅威インテリジェンス企業は、関連するドメインサービスプロバイダー、ウェブ所有者、検索エンジンと協力して悪意のあるページの削除に取り組んでいる。しかし同時に、ユーザーに対してもこうした手口への認識を高めるよう促した。
同社は「ユーザーは、検索エンジン経由でアクセスするURL、特に銀行のログインページには注意することが推奨される。ベストプラクティスは、検索エンジンで探すのではなく、銀行ログインなどの重要なログインページをブックマークしておくことだ」と結論づけた。
「URL内のドメインが正規であることを必ず確認し、すぐには気づかないような小さな綴りの違いがある類似ドメインにも注意してほしい。不明な場合は銀行に連絡し、正しいログインページを特定してもらうこと。」
翻訳元: https://www.infosecurity-magazine.com/news/researchers-haxor-seo-poisoning/
