ショッピングサイトを装って金銭を搾取する詐欺サイトが増えているようです。攻撃者は正規のサイトを改ざんして詐欺サイトに顧客を誘導します。顧客は詐欺サイトを本物のサイトと思っているので商品を購入(クレジットカード番号の入力等)をしてしまいます。
- 顧客が検索サイトで欲しい商品を検索して検索結果が表示される。気に入ったサイトのリンクをクリックする。
- 攻撃者によって改ざんされた正規のサイトにリンクがいくが、すぐに詐欺サイトにリダイレクトされる。
- 顧客のブラウザに詐欺サイトが表示されてしまう。
正規サイトの改ざん方法
正規のサイトから詐欺サイトにリダイレクトさせる方法ですが、以下のやり方があります。
①HTTPリダイレクト
②HTMLリダイレクト
③JavaScriptによるリダイレクト
①については前回の記事を見てみてください。WEBサーバ(Apache)の httpd.conf、もしくは、.htaccess の書き換えでリダイレクトさせます。
②についてはHTMLのmetaタグを利用する方法です。具体的には以下のコードを正規のサイトに書き加えます。書き加える場所はHTMLのヘッダ部(<head>〜</head>の間)です。
③についてもJavaScriptのコードを正規のサイトに書き加えます。具体的には以下のコードです。
JavaScriptのリダイレクトでは「location.href = “リダイレクト先URL”;」という書き方もあるのですが、この書き方だとブラウザの履歴に残るため詐欺サイト上でブラウザの「戻る」ボタンを押下した際に正規のサイトに戻ります。そうすると、詐欺サイトにまたリダイレクトされいつまでたっても戻れない状態になってしまいます。location.replace の書き方はブラウザの履歴に残らないため「戻る」ボタンを押下した際の戻り先は検索サイトの結果表示画面となります。
なお、②のmetaタグを使用した場合もブラウザの履歴に残るため location.href の場合と同様の動きになります。
リダイレクトの方法は①〜③のやり方があるのですが、攻撃者は比較的簡単な改ざんでリダイレクトできる③のやり方を用いているのではないかと推測します。ちなみに、ブラウザが実行するリダイレクトの優先順位ですが①、②、③の順(HTTPリダイレクトを最優先する、JavaScriptによるリダイレクトは最後)となります。
SEOポイズニング
ここまで正規サイトの改ざん方法について書いてみましたが、攻撃者はもう一つ重要な仕込みを行います。SEOポイズニングと呼ばれるもので改ざんされたサイトが検索結果の上位に表示されるような仕込みです。検索サイトの表示順のアルゴリズムは非公開であるため容易ではないのですが、SEO対策としていろいろな方法が取り沙汰されているため、それらを利用(悪用?)しているものと思われます。検索結果を上位にさせる具体的な方法はちょっと不明です。
対策はどうしたらいいか?
ただサイトを見ているだけなら特に意識する必要はないかと思いますが、金銭の支払いを伴う場合は注意が必要です。詐欺サイトは巧妙に作られているためそれを正規のサイトかどうか見分けるのは難しいかもしれません。少しでもへんな日本語があったりしたら疑ったほうが良いでしょう。少なくとも、TLD(トップレベルドメイン)の確認はしたいところです。