検索クローラにはECサイト見せ 人間はニセECサイトへ誘導 ~ 日本向け偽ショッピングサイト犯の手口 | ScanNetSecurity
2026.07.16(木)

検索クローラにはECサイト見せ 人間はニセECサイトへ誘導 ~ 日本向け偽ショッピングサイト犯の手口

 トレンドマイクロ株式会社は10月16日、日本向け偽ショッピングサイトの背後にいる犯罪グループの分析に用いた手法と、個々の犯罪グループが用いる手口についての解説記事を同社セキュリティブログで発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
SEOマルウェアが応答するコンテンツの例
SEOマルウェアが応答するコンテンツの例 全 1 枚 拡大写真

 トレンドマイクロ株式会社は10月16日、日本向け偽ショッピングサイトの背後にいる犯罪グループの分析に用いた手法と、個々の犯罪グループが用いる手口についての解説記事を同社セキュリティブログで発表した。

 同社によると、攻撃者はWebサーバを改ざんし、SEOマルウェアを設置、Webサーバに対するコンテンツ要求を横取りし、改ざん前のWebサイトとは異なるコンテンツの応答を返すとのこと。

 SEOマルウェアは、Webサーバへのアクセスが検索エンジンのクローラからのアクセスであると判断した場合は、商品情報のようなSEOポイズニング攻撃に使われるコンテンツを応答し、検索結果から誘導されたユーザからのアクセスであると判断した場合は偽ショッピングサイトに転送するスクリプトを含むコンテンツを応答する。アクセス元の判別にはHTTP要求ヘッダに記載のあるReferrerやUser-Agentヘッダを利用している。

 同社ではリサーチ中に、偽ショッピングサイトへの転送コンテンツがSEOマルウェアのC2サーバや時期によって異なってくることを発見し、転送コンテンツの特徴ごとに番号を付けてグルーピングすることでC2サーバ、さらには背後の犯罪アクターを分類することができると考えている。

 同社では分類した犯罪アクターについて、「FS+グループ番号」(FSはFake Storeの略)の形式で名称をつけ、例としてFS1、FS7、FS18の3グループの転送コンテンツを取り上げ、特徴を紹介している。

・FS1:改行がないHTML。偽ショッピングサイトへの転送に window.location への代入を行うJavaScriptを使う。

・FS7:DOCTYPE属性を含む、成形されたHTML。偽ショッピングサイトの転送にJavaScriptのwindow.location.replaceメソッドを用いる。JavaScriptが有効でないブラウザではMETAタグによる転送を用いる。

・FS18:JavaScriptを簡単に難読化している。JavaScriptが有効なブラウザでは、Referrer(document.referrer)の検査を行い、検索エンジンからの訪問の時のみ、setTimeoutメソッドを用いて1秒待機後、偽ショッピングサイトへの転送を行う。JavaScriptが有効でないブラウザではReferrerに関わらずMETAタグによる転送を用いる。

 同ブログではさらに、転送先の偽ショッピングサイトについて、そのインフラや作成キットの特徴を示すような部分を抽出し、特徴として分類し、偽ショッピングサイト側の特徴を活用することで、複数のFSグループ番号をつないでグルーピングが行えるとしている。

 同社では、2023年9月に収集した偽ショッピングサイト35,825件(5,282ドメイン)に対し、「偽ショッピングサイトのドメイン」「FSグループ番号(SEOマルウェアの返す転送コンテンツの特徴を示すID番号)」、「連絡先メールアドレスのドメイン」、「Matomoサーバのドメイン」、「偽ショッピングサイトに特徴的な文言」の要素を用いた分析を行い、アクターグループを3つに分類している。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

    高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

  2. 日本交通が不正アクセスでシステムを緊急遮断、タクシー配車やハイヤー予約等に一部影響

    日本交通が不正アクセスでシステムを緊急遮断、タクシー配車やハイヤー予約等に一部影響

  3. 村田製作所 IT環境への不正アクセス、自動車保険の顧客情報一部が外部に漏えい

    村田製作所 IT環境への不正アクセス、自動車保険の顧客情報一部が外部に漏えい

  4. Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に

    Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に

  5. KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

ランキングをもっと見る
PageTop