SEOポイズニングの仕組みとは?代表的な手口と被害を防ぐ対策集
( 最終更新日:2024年5月1日)
SEOポイズニングは、ウェブ上の検索ユーザーに不利益をもたらす脅威です。また、ウェブサイトの運営者が被害を受けたり、意図せず加害者になったりするケースもあるため、対策を知っておかないと深刻なダメージを受けるかもしれません。
SEOポイズニングは具体的にどのような脅威であり、どういった被害が考えられるのでしょうか。本記事ではSEOポイズニングの仕組みや手口に加えて、被害者・加害者にならないための対策を紹介します。
目次
SEOポイズニングとは?
SEOポイズニング(SEO poisoning)とは、不正なウェブサイトを検索結果の上位に表示させる手法です。サイバー攻撃の一種であり、気づかずに閲覧をするとマルウェアや不正プログラムが仕込まれたページや、悪質な詐欺サイトなどに転送されます。
たとえば、2000年代には検索エンジンのGoogleになりすまし、訪問したユーザーを攻撃する「goggle.com」や「goggle.net」が存在していました。これらはユーザーの入力ミスを狙ったSEOポイズニングであり、一時期は月間数百万人のユーザーが訪問していたとされています。
Googleはこのようなウェブサイトを厳しく取り締まっており、名称が似通ったドメイン(gooogleやgogleなど)を次々と確保しています。「goggle.com」や「goggle.net」についても、2022年10月からはGoogleが所有するドメインになりました。
参考:Domain Name Wire「Google Got Goggle.com – Domain Name Wire | Domain Name News」
しかし、SEOポイズニングの手口は巧妙化されており、2024年現在でも悪質なウェブサイトは多数存在しています。
SEOポイズニングの知識はなぜ必要?
ウェブサイトの運営者は、SEOポイズニングの被害者になる可能性があります。また、意図をせずに加害者になってしまうこともあるので、正しい対策や対処法を知っておく必要があります。
被害者・加害者になるとどのような弊害があるのか、以下で例を紹介します。
<SEOポイズニングの被害者になった場合>
・悪質なウェブサイトに誘導される
・個人情報を抜き取られる
・デバイスがマルウェアに感染する
<SEOポイズニングの加害者になった場合>
・ウェブサイトを乗っ取られる
・ユーザー(顧客)に被害が及ぶ
・製品やサービス、会社などの信頼性が下がる
たとえば、不正アクセスによってウェブサイトが改ざんされると、悪質なサイトへのリダイレクト元になってしまう場合があります。仮にサイバー攻撃の被害者であっても、多くのユーザーは「運営者が悪質な行為をしている」と認識するため、信頼性が下がることは避けられません。
また、ウェブサイトを完全に乗っ取られると、これまで築き上げてきたコンテンツや検索エンジンからの評価を失う可能性も考えられます。
SEOポイズニングがなくならない理由
SEOポイズニングを行う悪質なウェブサイトは、巧妙な手口でユーザーや運営者を攻撃しています。スパムサイトの検索順位を下げるなど、検索エンジンのアルゴリズムも対策は行っていますが、現時点ではいたちごっこの状態が続いています。
たとえば、一部のスパムサイトはアクセス情報に応じて、表示するページを変えるような仕組みになっています。具体的には、検索エンジンのクローラー(巡回ロボット)が訪れたら一般的なウェブサイトの情報を返し、ユーザーの訪問時には不正なサイトの情報を返すような手口です。
また、セキュリティが不十分なウェブサイトを乗っ取る手口もあるので、機械的な方法ですべてのスパムサイトを検知することは困難です。そのため、SEOポイズニングの被害者や加害者にならないように、一般の運営者側やユーザー側も基礎知識をつけておく必要があります。
SEOポイズニングの代表的な手口2つ
SEOポイズニングの手口は、悪質なウェブサイトへのリダイレクトと、デバイス(ハードウェア)に感染する不正プログラムの2つに分けられます。それぞれどのような手口なのか、以下では主な特徴や仕組みを解説します。
1.悪質なウェブサイトへのリダイレクト
リダイレクトとは、特定のページにアクセスしたユーザーを、別のウェブサイトに転送する仕組みです。悪質なウェブサイトに転送されたユーザーは、詐欺行為や情報漏えいの被害に遭ったり、マルウェアに感染したりするリスクがあります。
現在では手口が巧妙化されており、一般的なHTMLで構成されたページのほか、PDFページからリダイレクトされる例も確認されています。そのほか、転送先のページで公的機関を謳ったり、偽のECサイトに誘導したりする手口もあります。
2.デバイスに不正プログラムを読み込ませる
SEOポイズニングは、マルウェアなどの不正プログラムを感染させる目的で行われることもあります。
ありがちな例としては、パソコンやスマートフォンの故障を知らせて、悪質なソフトウェアをダウンロードさせるような手口が挙げられるでしょう。デバイスに不正プログラムが入り込むと、個人情報やデバイス内のファイルが流出するなどの被害に巻き込まれます。
セキュリティソフトで対策する方法はありますが、中にはメモリに直接書き込まれてしまうケースも見られます。ファイル形式ではない不正プログラムは検出が難しいため、大きな被害になるまで気づけない可能性があります。
SEOポイズニングの被害を防ぐ対策
SEOポイズニングの被害を防ぐには、セキュリティ対策を万全にしておく必要があります。具体的にどのような方法があるのか、以下では3つの対策を紹介します。
異変を感じたらブラウザバックをする
検索エンジンに書かれていた内容と異なるなど、ウェブサイトに異変を感じたらすぐにブラウザバックをしましょう。操作をせずに元の検索ページに戻れば、詐欺サイトなどに騙されるリスクを抑えられます。
しかし、中には異変を察知しづらいページも存在します。そのため、悪質なウェブサイトの見分け方を事前に知っておくことも重要です。
<悪質なウェブサイトの特徴>
・ポップアップ広告や警告が多数表示される
・デバイスの反応が鈍くなる
・不正プログラムの読み込みによってデバイスが熱くなる
・文章表現に違和感がある
・通常とは異なるURLが使われている
上記のような異変を見つけたら、できるだけ早くブラウザバック、またはブラウザ自体を消すようにしましょう。
安全なウェブサイトをブックマークしておく
SEOポイズニングのターゲットは、Googleなどの検索エンジンを使うユーザーです。そのため、ブラウザのブックマーク機能からウェブサイトに移動すれば、被害に遭う確率を大きく減らせます。
ただし、ブックマークしたウェブサイトが乗っ取られて、悪質なページにリダイレクトされる可能性もゼロではありません。前述の「悪質なウェブサイトの特徴」を敏感に察知して、異変を感じたらすぐにブラウザバックなどの対応をしましょう。
最新のセキュリティソフトを使う
SEOポイズニングを徹底して防ぎたい場合は、セキュリティソフトの活用を考えましょう。最新のソフトには、メモリに書き込まれた不正プログラムを検出する製品も見られます。
ただし、悪質なページやプログラムは日々進化しているため、常に最新のバージョンにアップデートすることが重要です。また、製品によって仕様は変わるため、「どんな脅威に対処できるのか」や「サポート体制は充実しているか」なども確認した上で、導入するセキュリティソフトを選びましょう。
SEOポイズニングの加害者にならない対策
ウェブサイトの運営者は、意図せずSEOポイズニングの加害者になってしまうことも防ぐ必要があります。地道に築いたコンテンツや信頼性を失わないためにも、以下の対策を行っておきましょう。
改ざんのチェックを定期的に行う
多くの場合、不正アクセスや乗っ取りの対象になったウェブサイトには改ざんの形跡が残ります。そのため、ページを構成するHTMLやディレクトリなどは定期的にチェックし、安全に運用できていることを確認しましょう。
また、改ざんされるリスクを想定して、事前にバックアップを取っておくことも重要です。被害前のバックアップデータがあると、仮にページ情報を改ざんされても、短時間で元の姿に復旧することができます。
異変を感じたらIDやパスワードを変える
ウェブサイトの異変を感じたら、バックアップで復旧作業をする前にIDとパスワードを変更しましょう。ID・パスワードの変更後に復旧を行うことで、再び改ざんされるリスクを抑えられます。
また、複数人がID・パスワードを知っている場合は、共有する範囲も考え直す必要があります。特にパスワードについては、管理者を数人に絞る、社外に持ち出せない状態にするなどの工夫をして、強固なセキュリティ体制を構築してください。
解析されにくいパスワードを設定する
パスワードは専用のソフトウェアで解析される可能性があるため、セキュリティ性の高い文字列にする必要があります。参考として、以下では独立行政法人のIPA(情報処理推進機構)が推奨するパスワードの作り方を紹介します。
<安全なパスワードの特徴>
・10文字以上の文字列で構成している
・「@」や「%」などの記号が含まれている
・大文字と小文字の両方が使われている
・別のサービスと同様の文字列が使われていない
参考:情報処理推進機構(IPA)「チョコっとプラスパスワード」
なお、かつてはパスワードを定期的に変更する方法も、有効なセキュリティ対策として知られていました。しかし、NIST(米国国立標準技術研究所)が2017年に公表したガイドラインには、「定期的な変更は不要」という旨が記載されています。
参考:総務省「安全なパスワード管理|国民のためのサイバーセキュリティサイト」
安全性の高いパスワードを設定し、かつ適切な方法で管理をすれば、同じものを使い続けてもリスクはそれほど変わらないと考えられます。
二段階認証を設定する
二段階認証とは、IDやパスワードの入力に加えて、SMS認証などの別の方法で本人確認を行う仕組みです。ウェブサイトのログインに二重ロックをかけられるため、より強固なセキュリティ体制を築けます。
中でも、「記憶情報・所持情報・生体情報」のうち2つ以上を組み合わせた多要素認証は、有効な不正ログイン対策としてIPAから推奨されています。
引用:情報処理推進機構(IPA)「不正ログイン対策特集ページ | 情報セキュリティ」
SEOポイズニング対策は知識のアップデートも必要
SEOポイズニングの手口は巧妙化しているため、ユーザーや運営者が知識をアップデートすることも必要です。こまめに最新のニュースや被害などを確認し、「どのような手口が増えてきたのか」「特に注意したい手口はあるか」を常に把握しておきましょう。
政府が運営するNISC(内閣サイバーセキュリティセンター)では、注意喚起として最新のサイバー攻撃などに関する情報が掲載されています。
参考:内閣サイバーセキュリティーセンター「新着情報 – NISC」
また、検索時やウェブサイト運営時のリスクを抑えるには、各種ツールを活用することも重要です。ウェブサイトの安全性を確認したり、ページ内の異常を検出したりするツールを導入すれば、SEOポイズニングの被害者・加害者になるリスクを抑えられます。
たとえば、警察庁は偽サイトや詐欺サイトでの被害を防ぐために、ウェブサイトの信ぴょう性を確認できるサービス「SAGICHECK」の使用を推奨しています。
参考:警察庁「「偽サイト」「詐欺サイト」に注意!|警察庁Webサイト」
最新のセキュリティ対策も含めて、こまめに知識をアップデートしましょう。
万全のセキュリティ対策で安全なウェブ閲覧・運営を
SEOポイズニングの手口は、今後も巧妙化することが予想されます。基本的には知識の乏しいユーザーやウェブサイト運営者が狙われるため、こまめに情報収集をすることが望ましいでしょう。
運営者に限った話をすると、ウェブサイトの評価が高まるほど被害に遭うリスクは高まります。検索上位を獲得したコンテンツを失わないためにも、不正アクセスや乗っ取りに対するセキュリティは常に強固にすることを検討してください。
本記事のテクニックや内容が、貴社のビジネスにプラスとなりましたら幸いです。実際のプロセスで不安や懸念などがございましたら、お気軽にご相談くださいませ。
- 不動産業界で必須のSEO戦略とは?キーワードの選び方と10の施策 - 2024年7月10日
- 金融業界で必須のSEO施策とは?実践的な11のテクニック - 2024年7月10日