2022年6月に、自治体の偽サイトが大量に発生し、特定の検索エンジンで検索すると、公式サイトが表示されず、偽サイトが上位に表示される事象が発生しました。
6月15日時点では、複数の自治体の偽サイトが存在しており、セキュアブレインは、偽サイトがどのような動作をするか調査を行いました。
偽サイトは、同一ドメイン(サブドメイン違い多数含む)で大量の自治体の偽サイトが作成されていました。自治体だけでなく、官公庁、インフラ会社など公共性の高い組織の偽サイトが作成された痕跡を確認しました。
偽サイトは以下のURLのパターンで動的に作成されていました。
セキュアブレインのサイトを例とした場合
http://●●●●●●●●●.info/artikel-https-www.securebrain.co.jp
この手法は、Webプロキシを用いて artikel- 以降のURLのサイトを中継して表示しているものと思われます。また、中継して表示されるサイトには不審なJavaScript(inject.js)が挿入されていました。
この不審なJavaScriptによって正規サイトには存在しないポップアップが表示されることを確認しています。このポップアップをクリックするとCAPTCHA(キャプチャ認証)(※1)を装って許可を要求する画面が表示されることを確認しています。許可をクリックしてしまうと、Push通知機能によってマルウェア感染などを騙った様々なデスクトップ通知が表示されるようになります。また、ソフトウェアのダウンロードやインストールを促したり、サポートセンター詐欺と思われる電話番号へ電話するよう促がしたりするサイトに転送されるケースを確認しました。さらに、ポップアップ以外の中継されたサイトが表示されている箇所をクリックしても中継されたサイトを操作することはできず、オンラインカジノやショッピングサイトなど様々なサイトに転送されることを確認しました。
(※1) CAPTCHA(キャプチャ認証):人間による操作・入力であること(ロボットでない)を確かめるために行われるテスト
ユーザーの警戒心を削ぐために信頼のある自治体サイトを装い、SEOポイズニング(※2)などで検索サイトの上位に偽サイトを表示させた可能性が想定されます。
(※2) SEOポイズニング:検索エンジン最適化の手法を悪用して、検索エンジンの結果上位にサイトのリンクを表示させ、ユーザーを詐欺サイトやマルウェアに感染させる危険なウェブサイトに誘導する攻撃手法
今回の我々の調査において、偽サイトが検索結果の上位に表示されることが確認されたのはBingのみで、GoogleやYahooでは確認されていません。しかし、いずれの検索サイトにおいても検索結果に悪質な内容が含まれる可能性が存在すると考えられます。
偽サイトは本物のサイトを中継していると思われるため、見た目で偽サイトを判定することは非常に困難です。検索サイトにもこのような危険が発生することがありますので、検索サイト経由だから大丈夫と油断しないことが重要です。特に自分が住んでいる地域の自治体のサイトなどは、ブックマークをし、必ずブックマークからアクセスすることをお勧めします。また、感染の警告などの不安をあおるメッセージや許可を求めるダイアログ、懸賞の当選を騙って個人情報の入力を求めるケースなどはすぐに反応せず、一度冷静に考える時間を取ってください。
インターネット利用者を標的にした攻撃の手口は年々巧妙になってきています。今回の事象のように、安全と思われる検索サイトでの検索結果などでも悪質なサイトに遭遇する可能性があることを理解し、インターネットを利用することを心がけてください。
※2022年7月1日現在、同じ手法(正規のサイトを中継する)の偽サイトを確認していますので、ご注意ください。
http://●●●●●●●●●.id/host-(正規のURL)
