検索クローラにはECサイト見せ 人間はニセECサイトへ誘導 ~ 日本向け偽ショッピングサイト犯の手口 | ScanNetSecurity
2024.02.21(水)

検索クローラにはECサイト見せ 人間はニセECサイトへ誘導 ~ 日本向け偽ショッピングサイト犯の手口

 トレンドマイクロ株式会社は10月16日、日本向け偽ショッピングサイトの背後にいる犯罪グループの分析に用いた手法と、個々の犯罪グループが用いる手口についての解説記事を同社セキュリティブログで発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
SEOマルウェアが応答するコンテンツの例
SEOマルウェアが応答するコンテンツの例 全 1 枚 拡大写真

 トレンドマイクロ株式会社は10月16日、日本向け偽ショッピングサイトの背後にいる犯罪グループの分析に用いた手法と、個々の犯罪グループが用いる手口についての解説記事を同社セキュリティブログで発表した。

 同社によると、攻撃者はWebサーバを改ざんし、SEOマルウェアを設置、Webサーバに対するコンテンツ要求を横取りし、改ざん前のWebサイトとは異なるコンテンツの応答を返すとのこと。

 SEOマルウェアは、Webサーバへのアクセスが検索エンジンのクローラからのアクセスであると判断した場合は、商品情報のようなSEOポイズニング攻撃に使われるコンテンツを応答し、検索結果から誘導されたユーザからのアクセスであると判断した場合は偽ショッピングサイトに転送するスクリプトを含むコンテンツを応答する。アクセス元の判別にはHTTP要求ヘッダに記載のあるReferrerやUser-Agentヘッダを利用している。

 同社ではリサーチ中に、偽ショッピングサイトへの転送コンテンツがSEOマルウェアのC2サーバや時期によって異なってくることを発見し、転送コンテンツの特徴ごとに番号を付けてグルーピングすることでC2サーバ、さらには背後の犯罪アクターを分類することができると考えている。

 同社では分類した犯罪アクターについて、「FS+グループ番号」(FSはFake Storeの略)の形式で名称をつけ、例としてFS1、FS7、FS18の3グループの転送コンテンツを取り上げ、特徴を紹介している。

・FS1:改行がないHTML。偽ショッピングサイトへの転送に window.location への代入を行うJavaScriptを使う。

・FS7:DOCTYPE属性を含む、成形されたHTML。偽ショッピングサイトの転送にJavaScriptのwindow.location.replaceメソッドを用いる。JavaScriptが有効でないブラウザではMETAタグによる転送を用いる。

・FS18:JavaScriptを簡単に難読化している。JavaScriptが有効なブラウザでは、Referrer(document.referrer)の検査を行い、検索エンジンからの訪問の時のみ、setTimeoutメソッドを用いて1秒待機後、偽ショッピングサイトへの転送を行う。JavaScriptが有効でないブラウザではReferrerに関わらずMETAタグによる転送を用いる。

 同ブログではさらに、転送先の偽ショッピングサイトについて、そのインフラや作成キットの特徴を示すような部分を抽出し、特徴として分類し、偽ショッピングサイト側の特徴を活用することで、複数のFSグループ番号をつないでグルーピングが行えるとしている。

 同社では、2023年9月に収集した偽ショッピングサイト35,825件(5,282ドメイン)に対し、「偽ショッピングサイトのドメイン」「FSグループ番号(SEOマルウェアの返す転送コンテンツの特徴を示すID番号)」、「連絡先メールアドレスのドメイン」、「Matomoサーバのドメイン」、「偽ショッピングサイトに特徴的な文言」の要素を用いた分析を行い、アクターグループを3つに分類している。

《ScanNetSecurity》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. モニタリング強化で発覚、LINEヤフーの委託先のアカウントに不正アクセス

    モニタリング強化で発覚、LINEヤフーの委託先のアカウントに不正アクセス

  2. NTTマーケティングアクトProCX 元派遣社員による不正持ち出し、岡山県警が1月31日付で逮捕

    NTTマーケティングアクトProCX 元派遣社員による不正持ち出し、岡山県警が1月31日付で逮捕

  3. Windows DNSの脆弱性情報が公開

    Windows DNSの脆弱性情報が公開

  4. 臨床検査事業を行うアイルにランサムウェア攻撃、検体検査の遅延が発生

    臨床検査事業を行うアイルにランサムウェア攻撃、検体検査の遅延が発生

  5. 勤務時間外の上司のメールは懲役 ~ 豪 つながらない権利法案 性急な法制化

    勤務時間外の上司のメールは懲役 ~ 豪 つながらない権利法案 性急な法制化

ランキングをもっと見る
PageTop