コンピューターの黎明期から、ソーシャルエンジニアリングはコンピューターやネットワークに対する重大な脅威であり続けています。実際、成功したデータ侵害の70%〜90%にソーシャルエンジニアリングが関与しています。
他の攻撃手段の割合は、ソーシャルエンジニアリングに比べてはるかに低く、33%はパッチの適用されていないソフトウェアやOSの脆弱性を悪用しており、その他の手段はすべて1%以下です。
ソーシャルエンジニアリングの多くはメールによるフィッシングですが、それ以外にも対面、電話、SMS、インスタントメッセージ、SNS、Webサイトを利用した攻撃手法も存在します。企業や組織は人的リスクを減らすために、メールフィッシングだけではなく、あらゆるソーシャルエンジニアリング手法について従業員に教育する必要があります。
企業や組織が十分に認識していないフィッシング手法は数多く存在します。このブログでは、そのような手法の一つを紹介します。
何十年もの間、サイバー攻撃者は検索エンジンを悪用する攻撃を展開してきました。検索エンジンは非常に優れたツールであり、何十億ものWebページを検索し、特定のキーワードに対してユーザーがどこにアクセスするかを追跡しています。「Archie」サーバーや「Veronica」サーバーが使用されていた時代を知っている方であれば、今日の検索エンジンの進化がどれほど素晴らしいかを実感していることでしょう。現在の検索エンジンは、検索結果を自動補完し、入力ミスを修正し、さらに検索候補を表示してくれます。
キーワードを入力する前に、検索エンジンが答えを表示してくれる未来が訪れるかもしれません。検索結果と一緒に表示される広告も、ユーザーの閲覧内容に基づいて高度にカスタマイズされるようになっています。まるで、友人と話している内容に聞き耳を立てているかのように、関連する広告が表示されていると感じることがあるでしょう。
検索エンジンの最適化(SEO)
現在のWebサイトは、より多くのユーザーにアクセスしてもらうために、検索エンジンを考慮して設計する必要があります。適切なURLや名前、コンテンツだけでなく、検索エンジンに認識されやすい数多くのキーワードを含める必要があります。これにより、検索結果で上位に表示されやすくなります。
例えば、子猫を販売するWebサイトは、子猫の写真を掲載するだけではなく、サイト内に「子猫」や「三毛猫」「ペルシャ猫」「シャム猫」「アメリカンショートヘア」といった単語を散りばめる必要があります。これらのキーワードはユーザーには見えませんが、検索エンジンはサイトをクロールするときに認識します。目的に合ったキーワードが多いほど、検索結果で上位に表示されやすくなり、ユーザーがそのサイトをクリックする頻度が上がることで、さらに上位に表示される可能性が高まります。
Webデザイナーはこの仕組みを理解しており、検索エンジンで上位に表示されるWebサイトを作成しようとします。その結果、検索エンジン最適化(SEO)と呼ばれる専門技術が生まれました。優れたWebサイトを作るだけでは不十分で、SEOを考慮する必要があります。多くの時間を費やして作ったWebサイトに訪問者が来なければ、徒労に終わることになります。
悪意のあるSEO
当然のように、サイバー攻撃者もこの技術を悪用しています。何十万もの悪意のあるWebサイトが、SEOを考慮して設計されています。この結果、Microsoft Windowsのエラーメッセージや自動車修理マニュアルのような一般的な検索をすると、これらの悪意あるWebサイトに誘導され、悪意あるリンクをクリックさせたり、偽のコンテンツをダウンロードさせられたりします。この手法はSEOポイズニングと呼ばれています。
SEOポイズニングの手口は、極めて巧妙です。検索エンジンにキーワードを入力するときには、知らないうちに悪意のあるWebサイトが上位に表示されていることが多くあります。ほとんどのユーザーは、GoogleやBingなどの検索エンジンが誤って悪質なサイトを上位に表示しているとは考えもしません。
攻撃者は、検索エンジンで広告を購入し、その広告からユーザーを悪意のあるWebサイトに誘導することがあります。この手法は「マルバタイジング」と呼ばれます。ユーザーは、表示された広告や検索結果が合法的なサイトだと思い込んでいますが、実際には深刻な問題を引き起こすリスクのある悪意のあるサイトに誘導されます。
何百万人ものユーザーがSEOポイズニングによって配信されたマルウェアに感染しています。配信されているマルウェアの一例として「Gootloader」があります。
米国のソフトウェア企業であるRed Canaryは、Gootloaderついて次のように述べています。
「契約書や法務関連の文書、財務書類の情報を提供するように装っており、侵害されているWebサイトにユーザーがアクセスした場合に、Gootloaderは頻繁に検出されています。一般的な検索エンジンで「合意書」、「契約書」、またはさまざまな金融機関名などを検索した結果、被害者はこれらの悪意のあるサイトへ誘導された可能性が高いと考えられます。」
多くのマルウェアが、SEOポイズニングを通じて何百万ものデバイスに拡散されています。どの検索ワードが悪意のあるWebサイトを表示させるかは、マルウェアや時期によって異なります。AI、ソフトウェア、開発、エラー修正などの一般的な用語で検索すると、知らないうちに悪意のあるWebサイトが表示されることがあります。さまざまなマルウェアプログラムとそのSEO手法に関する記事をこちらに紹介します。
つまり、メールによるフィッシングは依然として最も一般的な侵入方法ですが、他にも多くの攻撃手法が存在し、その中でもSEOポイズニングはよく用いられる手法の一つです。
企業や個人は、従業員だけでなく、その家族にもSEOポイズニング攻撃について情報を提供し、教育する必要があります。検索結果が必ずしも信頼できるわけではなく、多くの悪意のあるWebサイトが存在することを伝えましょう。検索エンジンは常にSEOポイズニングに対処しようとしていますが、完全な対策はまだ講じられていません。多くのリスクと同様に、検索するユーザーは警戒を怠ってはなりません。
企業や組織は、多くのマルウェア攻撃を阻止し、あらゆる種類のソーシャルエンジニアリング攻撃に備えるために従業員やその同僚を教育する必要があります。脅威となるのはメールフィッシングだけではありません。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
原典:Roger Grimes著 2024年9月23日発信 https://blog.knowbe4.com/educate-users-malicious-seo-poisoning-attacks