グーグル検索を悪用するサイバー犯罪-1

2010/09/17

グーグルは、マルウェア配布に悪用されることが最も多いポータルサイトの一つです。実際に、アクセスすると別のWebサイトにリダイレクトし、転送先でトロイの木馬がインストールされるサイトのURLの一部を検索してみたところ、数百件の検索結果が得られました。同時に、その大半はグーグルの検索サービスで検索結果上位を獲得していました。このようにグーグルを使用した攻撃は、近年更に増加しています。今回はその一例として、「Google Trends」の急上昇ワードをマルウェア配布に悪用した例を取り上げます。

グーグルでの検索結果には、検索キーワードを含む要約テキストが表示されます。これらのリダイレクトの背後には、間違いなくグーグルのサービスを不正操作している犯罪者が存在しています。こうした連中は、新しく作成したWebサイトを検索結果の上位に表示させるだけでなく、Webページの要約部分に、人気キーワードと関連する内容を表示させるための細工を施します。その一例を以下にあげてみましょう。

赤枠で示したWebページの要約が、検索結果ページ最上位にあるニュースサイト「Google News」の引用部分と一致しています。また他の検索結果から、攻撃がよく使用される検索キーワードをターゲットにしていることも明らかです。

別の検索結果では、検索キーワードの傾向などを調べられるサービス「Google Trends」と同様に、全ての小文字のタイトルが使用されています。実際、Google Trendsの上位に掲載されていたリンクをいくつかクリックしてみたところ、悪質サイトのタイトルがヒットします。

Google Trendsを悪用してマルウェアを配布しようとするアイデアは決して目新しいものではなく、ここ1~2年に渡って注目を集めています。ただその傾向として、大量の配布サイトを使用し、非常に多くの急上昇キーワードをターゲットとすると共に、悪質サイトへのリンクを検索結果ページ上位に常時表示するなど、攻撃性が高まってきています。

ユーザーがこれらの悪質なサイトへのリンクをクリックすると、リンク先ページで難読化されたスクリプト・ファイル(style.js)が参照されます。

このスクリプト・ファイルを解読したところ、参照元のURLが「google」「msn」「yahoo」「comcast」「aol.com」となっている場合にユーザーをリダイレクトすることが判明しました。これは攻撃者がターゲットを絞り込む際に用いる手口の一つに過ぎず、第三者が発見するのは少々困難です。リダイレクトしてしまえば通常の攻撃と変わりなく、偽の警告やスキャンメッセージを示したウィンドウが次々と表示され、最終的には偽のアラートを示すトロイの木馬「FakeAlert-AB」のインストールを促します。

怪しいリンクをクリックする際には、十分な注意が必要です。