フィンランドのセキュリティ企業エフセキュアは2010年3月5日、検索サイトを悪用した新たな攻撃を確認したとして注意を呼びかけた。検索サイトの結果から、ユーザーがPDFファイルだと思ってクリックすると、悪質なWebページ(HTMLファイル)に誘導されるという。
SEO(検索エンジン最適化)を駆使して、人気のあるキーワードで検索した際に、キーワードとは全く無関係の悪質サイトを上位に表示させる手口はよく使われる。こういった手口は、「SEOポイズニング」などと呼ばれる。今回報告されたのは、SEOポイズニングの“応用例”。
攻撃者はまず、人気のキーワードにちなんだPDFファイルを公開する。同社が確認した事例では、有名なアイスホッケー選手であるJoe Corvo氏の名前が悪用されていた(図1)。Joe Corvo氏にちなんだ無害のPDFファイルを公開し、同氏の名前で検索すると、検索結果にリンクが表示されるようにしていた(図2)。
検索サイトに登録された後、攻撃者はリンク先のファイルを変更。そのURLにアクセスすると、無害のPDFファイルではなく、HTMLファイルが表示されるようにした。検索結果の表示には「PDF」と記載されたままなので、PDFファイルだと思ってクリックすると、HTMLファイルが表示されることになる(図3)。
そのHTMLファイルには悪質なFlashファイルが貼られているため、古いFLASH PLAYERをインストールしている環境では、偽ソフト(セキュリティソフトなどに見せかけて料金をだましとろうとする詐欺的なソフトウエア)を勝手にインストールされる恐れがある(図4)。
同社の調査では、無害のPDFファイルを確認した2~3時間後には、リンク先が悪質なHTMLファイルになっていたという。また、そのHTMLファイルに記載されていたリンク先も、最初はPDFファイルだったものの、数時間後には、悪質なFlashファイルを貼ったHTMLファイルに変化したとしている。
