官公庁や市町村の「偽サイト騒動」でJava Scriptコードの挿入による広告表示も、トレンドマイクロ調査

　トレンドマイクロ株式会社は6月22日、官公庁や市町村の「偽サイト騒動」について、背後に不審なWebプロキシサイトを確認したと同社ブログで発表した。

　官公庁や市町村のWebページの「偽サイト」が検索上位に登場する等の報告が6月から相次ぎ、6月15日には内閣サイバーセキュリティセンター（NISC）から注意喚起が発出されている。

　トレンドマイクロで「偽サイト」について調査したところ、当該サイトは過去から何度も繰り返されている「プロキシ回避システム（Proxy Avoidance Websites）」の一種であるが、過去事例と異なり、オリジナルのサイトにはないJavaScriptを挿入するといった不審点を確認しているという。

　「プロキシ回避システム」は、利用者が指定したWebページを中継して表示するサービスで、「中継サービス」や「検閲対策サイト」、「Webプロキシサイト」などとも呼ばれ、一般的に、URLフィルタリングなどによるブロックを回避する、接続元のIPアドレスを知られるのを防ぐ、等の目的で使用されている。基本的には指定されたWebページを中継して表示するだけだが、結果として、オリジナルのWebページとそっくりな内容が異なるURLで表示されるため、「偽サイト」として混乱を呼ぶ事例が繰り返されているという。

　トレンドマイクロによると、今回問題となったサイトは、基本的には指定されたURLのWebページの内容を中継するものであったが、要求された接続先の内容にinject.jsというファイル名のJava Scriptコードを挿入する挙動を確認している。Java Scriptコードの挿入で、本来の表示が崩れて表示される、広告のポップアップが表示される等の機能が追加されている場合があることを確認している。トレンドマイクロでは、オリジナルのWebページとは異なる挙動を差しはさむことについて、「Webプロキシサイト」の範疇を外れる「不審な行為」と指摘している。

　トレンドマイクロでは、「偽サイト」の広告表示は直接のアフィリエイト収入を得るだけでなく、広告表示の場を他のアフィリエイトに提供することでも収入が得られるため、SEOと組み合わせてトラフィックを呼び込むことで、何者かが新たな金銭収入の場を開拓しようとしている可能性があると考察している。