SEOポイズニングとは?仕組みや主な手口・具体的な対策、事例を紹介
検索エンジンを悪用したサイバー攻撃である「SEOポイズニング」。インターネットが生活に浸透している現代では、被害者はもちろん加害者にならないためにも対策が必要です。本記事では、SEOポイズニングの仕組み、事例、求められる対策についてわかりやすく解説します。
目次
SEOポイズニングとは?
SEOポイズニングは、サイバー犯罪者がSEO(検索エンジン最適化)の仕組みを悪用し、検索結果の上位に偽サイトを表示させ、サイバー攻撃を行う手法です。
この手法では、ユーザーが信頼してアクセスしたサイトに不正プログラムが仕込まれており、ユーザーの個人情報を盗むなどの攻撃が行われます。「検索結果の上位にあるサイトは安全である」という無意識の思い込みにつけこんだ手口と言えます。
偽サイトを上位表示させる仕組み
SEOポイズニングで偽サイトで上位表示される仕組みについて、代表的な手口を以下に示します。
キーワードスタッフィング | ページ内に検索順位に影響するキーワードを、不自然なほど大量に詰め込む手法 |
クローキング | Webサイトを閲覧するユーザーとWebサイトを評価する検索エンジン側のロボットに対して、全く別のページを表示させる手法 |
リンクファーム | 大量のWebページを作成し、それらで相互にリンクを貼りあうことで被リンクの数を水増しすることで、ページの権威性を高める手法 |
こうした手口は「ブラックハットSEO」などと呼ばれます。Googleなどの検索エンジンも絶えず対策を続けているため、ある程度は解決済みの手口も存在します。
しかし、他のサイバー犯罪と同じくイタチごっこの状況に近いため、被害を完璧に防ぐ手段は確立されていないことを理解しておきましょう。
▷SEO対策のやり方とは?初心者でもわかる上位表示させる秘訣
SEOポイズニングの主な手口
SEOポイズニングの主な手口について、詳しく解説していきます。
悪質サイトへのリダイレクト
SEOポイズニングの手口の一つとして、上位サイトに不正プログラムを仕込み、ユーザーを悪質なサイトへリダイレクトさせる方法があります。
この手法では、最初にアクセスしたのは正規サイトの場合もあるため、途中でURLが変ったことに気づきにくく、警戒せずに個人情報を入力してしまう傾向があります。また、Webサイトだけではなく、ダウンロードするファイルのみすり替えられるケースも確認されています。
不正プログラムの設置
SEOポイズニングの手口として、メモリ上のみで存在できる不正プログラムを実行させられるケースがあります。
これは、ユーザーがWebサイトを訪れると、PCのメモリ上に不正プログラムが瞬時に展開され、特定の動作を実行するものです。ハードディスクに痕跡が一切残らないため、従来のウイルス対策ソフトでは検出が難しいという特徴があります。
SEOポイズニングによる被害内容
SEOポイズニングによる被害の一つとして、個人情報の漏洩が挙げられます。
ユーザーが偽サイトにアクセスすると、氏名や住所、電話番号などはもちろん、クレジットカードの情報が抜き取られるケースが報告されています。結果として、不正な口座利用などが発生し、深刻な経済的被害を被る可能性があるでしょう。
SEOポイズニングの具体的な対策
SEOポイズニングの具体的な対策について、詳しく紹介していきます。
【ユーザー向け】SEOポイズニングの具体的な対策
まずは、インターネットユーザー向けのSEOポイズニング対策について紹介します。
アクセスしようとしたサイトと異なる表示が出たらブラウザバックする
アクセスしようとしたサイトとは明らかに異なる表示が出た場合には、すぐにブラウザバック(戻るボタン)を実行しましょう。
もし、そのまま操作を続けるとSEOポイズニングの被害に遭う可能性が高まります。なお、検索エンジンからWebサイトをクリックする前に、URLを確認する習慣をつけることをおすすめします。怪しいサイトへのアクセスを防げる確率が高まるはずです。
頻繁に閲覧するサイトはブックマーク経由でアクセスする
よく閲覧するサイトはブックマークに登録し、そこからアクセスする習慣をつけましょう。
ブックマークを経由すれば、間違ったURLをクリックするリスクがほぼなくなるため、SEOポイズニングの被害に合う可能性を大きく減らすことが可能です。日常的に利用するサイトはブックマークからアクセスする習慣をつけつつ、インターネットの世界では常に騙し合いが行われていることを常に意識するようにしてください。
セキュリティソフトを万全にする
悪意のあるプログラムやソフトウェアからの攻撃を防ぐためには、セキュリティソフトを万全の状態にしておくことが重要です。
定期的にソフトウェアを更新し、最新のウイルス定義を適用することは、最も基本的なセキュリティ対策です。また、リアルタイム保護機能を有効にしておくと、不正なプログラムが侵入した際にも即座に対処できるでしょう。
【管理者向け】SEOポイズニングの具体的な対策
続いて、管理者向けのSEOポイズニング対策について解説していきます。
定期的にモニタリングをする
自社サイトがSEOポイズニングの加害者にならないためには、定期的にサイトのモニタリングを行い、改ざんされた箇所がないかチェックすることが重要です。
不正な変更や異常が発見された場合には、迅速に対処することで被害を最小限に抑えられます。また、自社サイトが攻撃されたケースに備えて、定期的にバックアップを取っておくことも欠かせません。多くの場合、Webサイトの改ざんは自覚しづらいように細工されているので、外部サーバーの監視サービスなども併用するとよいでしょう。
自社サイトへの不正なリンクを削除する
悪意あるサイトから自社サイトに向けたリンクがある場合には、ただちにリンクの削除依頼、あるいはリンクの否認を行いましょう。
なぜなら、SEOポイズニングには、不正なリンクをクリックさせることで不正プログラムを発動させる手法があるためです。自社サイトへのリンク一覧は、監視ツールなどですぐに確認できるので、定期的にチェックして悪意あるリンクを取り除くように努めましょう。
大手サイトになるほどこの作業は煩雑になりますので、自動かツールをうまく活用するとよいでしょう。
多要素認証を導入する
基本的なIDとパスワードによる認証だけではなく、多要素認証を導入してセキュリティを強化しましょう。
多要素認証とは、生体認証(指紋や顔)などの複数の要素を認証要素とすることで、不正アクセスのリスクを大幅に減らす手法です。たとえIDとパスワードが漏洩しても、他の認証要素がなければアクセスができないため、サイバー攻撃者の行動を大きく制限することが可能となります。昨今では常識となりつつあるセキュリティ対策ですので、まだ導入していない場合には早急な検討をオススメします。
▷【2024年最新】おすすめのSEOツール27製品を比較!機能や特徴・課題に合った選び方
SEOポイズニングの被害事例
SEOポイズニングによる具体的な被害事例について、以下に詳しく紹介します。
偽ショッピングサイトへの誘導
SEOポイズニングの一例として、偽ショッピングサイトへの誘導が挙げられます。
検索エンジンで人気のある商品を検索すると、大手ECサイトに似せた偽サイトに誘導されてしまうケースがあります。あるいは、本物の大手ECサイトが改ざんされ、正式なリンクから偽サイトへ誘導される場合もあるでしょう。
いずれにしても、ユーザーが偽サイトで購入手続きを進めると、クレジットカード情報や個人情報を不正に取得されてしまいます。もちろん、注文した商品も届きません。対策としては、常にURLを注意深くチェックすることが有効ですが、現実的に実践しきるのは難しいでしょう。
ハイチ大地震の義援金寄付に便乗した被害
2010年に発生したハイチ大地震の際、義援金寄付を装った偽サイトがSEOポイズニングで上位に表示され、多くの人々が被害に遭いました。
被害者は、寄付をするつもりで偽サイトにアクセスし、クレジットカード情報や個人情報を入力しましたが、これらの情報は不正に取得されました。災害など、時事性の高いキーワードでは、検索順位を決定するアルゴリズムが通常とは異なるために起きた事例です。現在のアルゴリズムは2010年当時よりは改良されているものの、時事性の高いサイトは日常的に利用するサイトと比べ油断が生じやすい、という性質を心に留めておきましょう。
対策を講じSEOポイズニングの被害にあわないようにしよう
SEOポイズニングの被害を防ぐためには、日常的にセキュリティ対策を徹底することが重要です。
悪意あるサイトからの不正リンクのチェックや、定期的なサイトのモニタリング、多要素認証の導入などを実践することで、被害リスクを大幅に減らすことができます。また、ユーザーとしても、不審なサイトにアクセスしないよう注意し、ブックマーク機能などを活用して信頼できるサイトのみを利用することが大切です。こうした対策を積極的に取り入れて、SEOポイズニングから身を守りましょう。
おすすめのお役立ち資料
SEOツールの記事をもっと読む
-
ご相談・ご質問は下記ボタンのフォームからお問い合わせください。
お問い合わせはこちら