Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

日本のECサイトが警戒すべきSEOスパム

Sucuri社のレポートによるとSEOスパム経由でWebサイトが感染する事例が海外では多発している様です。

news.mynavi.jp

Sucuriは1月28日(米国時間)、「Hacked Website Threat Report – 2019」において、2019年にマルウェアに感染したWebサイトの分析結果を発表した。

(中略)
感染時点で最新のバージョンだったCMSの割合は44%、古いバージョンだった割合は56%。この割合は2018年の分析結果とほぼ同じ傾向
・侵害を受けたWebサイトで見つかったプラグインの大半がパッチ未適用で既存の脆弱性を悪用できるリスクの高い状態にあった
・感染させられたマルウェアスパムが61.64%と最も多く、これに46.89%のバックドアが続いている
・スパムで使われているキーワードはバイアグラシアリス、スポーツジャージ、薬局/処方箋なし、模倣時計、ポルノなど
・スパムやマルウェアに感染したWebサイトは再感染の確率が高かった
仮想通貨マイナーの脅威は2018年から比べると大幅に減少した。仮想通貨の市場価格が下落したことや、JavaScriptベースでマイニングができるCoinHiveの閉鎖などが影響しているものとみられる

マイナビニュース記事より引用)

 

SEOスパムって?

SEOスパムとは何ですか?それを削除する方法は? ※英語サイト(以下機械翻訳

ハッカーは、弱いパスワードや古いプラグインのセキュリティギャップなど、WordPressサイトに存在するいくつかの脆弱性を利用して侵入を取得します。

中に入ると、彼らはあなたのSEOの成果をハイジャックするために物事を始めます(検索エンジン最適化)。上位のページを見つけ、独自のハイパーリンクとスパムキーワードを挿入します。

Googleでのランキングには多大な労力が必要ですが、それには大きなメリットがあります。これらのハッカーはむしろ、SEOとデジタルマーケティングのすべてのハードワークを実行させてから、Webサイトを使用して製品/サービスを宣伝します。これが、SEOスパムがspamdexingまたは検索エンジンポイズニング(SEP)としても知られている理由です。

このハッキングは、大規模なものだけでなく、あらゆるサイズのWordPress Webサイトをターゲットにできるため、非常に人気があります。最も一般的な被害者は、SSL証明書で保護されていないか、セキュリティ対策が講じられていない小規模なWebサイトNGO、およびWordPressブログです。
です。

このハッキングはよく偽装されており、所有者の目に見えないように隠されています。したがって、検出が最も難しいものの1つです。知らないうちにハッキングされる可能性があります。

 

 

キタきつねの所感

レポート原文(英語)もざっと見てみましたが、レポートに書かれている内容は、日本でも警戒が必要な攻撃が含まれていると考えて良いかと思います。

ここ数年、日本でのECサイトへの攻撃はEC-CUBE脆弱性を狙ったものが多かったのですが、対策も徐々に進みつつあり、2020年(海外)ハッカーは別な脆弱点を狙う攻撃にシフトしてくるものと思います。

その中で、Wordpressを代表とするCMSに関しては(EC-CUBEの昨年12月の注意喚起でも懸念点として書かれていますが)海外で特に脆弱点を狙われているというデータも出ていましたので、このレポート内容には日本のECサイト関係者も留意すべきと言えそうです。

記事は海外セミナーをベースに書かれていますが、セミナーの後にホワイトペーパーが出されており、(セミナーの)元ソースはこちらのデータが使われたものと思われます。

 

 

元ソース(Sucuri)

2019 Website Threat Research Report(1/20) ※ホワイトレポート(英語)

 

レポートの主なポイントを拾ってみると、

 

分析データに使われたCMSほぼすべてWordpressです。日本でもWordpressを利用しているECサイトは数多くありますので、潜在的に攻撃を受けてしまう(レポート内容の脆弱点を抱える)ECサイトは相当数あると思われます。

f:id:foxcafelate:20200201171435p:plain

 

SEOスパムの感染を受けたCMS(つまりWordpress)に関しては、感染時点で最新のバージョンであったのは44%に過ぎず、56%が古いバージョンで運用されていました。

f:id:foxcafelate:20200201171542p:plain

 

f:id:foxcafelate:20200201105800j:plainキタきつねの注目ポイント

CMSを利用する多くのECサイトは「最新化をサボっている」実態が浮かび上がってきます。

 

トップ10プラグインのインストールも出ており、CMSと合わせてプラグイン脆弱性(最新化がされてないサイト)が狙われている状況もありそうです。

f:id:foxcafelate:20200201171622p:plain

 

ウェブサイトの再感染について、SEOスパムで攻撃された後は、カード情報漏えいを引き起こす「スキマー」や、更なるシステム侵害を狙った「マルウェア」、フィッシング等につなげる「スパム」、次の攻撃を狙った「バックドア」等、一度SEOスパムが成功したサイトに対して、複数のツールを仕掛けてくる事が、このデータからも分かります。

f:id:foxcafelate:20200201171709p:plain

 

日本ではECサイト構築プラットフォームではEC-CUBEが有名ですが、海外の場合Magentoが大きなシェアを持っています。そのため、ハッカーに特に狙われやすく、2019年は(SEOスパムの侵害を受けたサイトが)スキマーを仕掛けられる率が20%もあったと書かれています。

f:id:foxcafelate:20200201171730p:plain

 

f:id:foxcafelate:20200201105800j:plainキタきつねの注目ポイント

PHPバージョンも、先ほどのソフトウェアの最新化と同じですね。やはり古いバージョンが使われているサイトが多かった様です。

f:id:foxcafelate:20200201171808p:plain

 

スパムで使われるキーワードは、医療関係や偽ブランド、ポルノ等が多い様です。

f:id:foxcafelate:20200201171942p:plain

 

レポートの最後に2020年の脅威予想が書かれており、広告配信(例:Adverline)、外部ライブラリ汚染(例:ブリテッシュエアウェイズ)、そしてSEOスパムは増えると予想されていました。

日本はまだこれらの攻撃手法による本格的な被害は出ていませんが、2020年は日本も巻き込まれる気がしてなりません。

 

 

SEOスパム被害の確認方法

自組織のサイトがSEOスパムの攻撃を受けて無いかどうかは、レポートを出したSucuri社のサイトでチェックする事ができます。

https://sitecheck.sucuri.net/

f:id:foxcafelate:20200201170343p:plain

 

因みに、このブログ(はてなブログのセキュリティ)に関しては、特に侵害懸念も検出されず、普通でした。

f:id:foxcafelate:20200201192329p:plain

 

 

本日もご来訪ありがとうございました。

Thank you for your visit.

 

 スパムメールのイラスト

 

 

更新履歴

  • 2020年2月1日 PM(予約投稿)