SEOを用いた詐欺「SEOポイズニング」の事例

SEM・マーケティングやGoogle検索アルゴリズムの変化を追うため、様々なWebサイトのトラフィック状況を観測していた所、とあるタイのWebサイトの自然検索流入が短期間に急上昇していました。

f:id:tairadaishiro:20200127152857p:plain

Keywordmapで当該ドメインの検索オーガニック流入推移を調べた所、2020年の1月から急激に検索上位順位ヒットキーワード数が上昇しており、自然検索経由のトラフィックを獲得し始めていました。

気になったのは、そのWebサイトのドメインが「.co.th」で終わっていた事です。「.co.th」はタイ王国の企業向けドメインで、本来はタイで事業を営んでいるWebサイト向けのドメインです。そのタイの企業サイトが何故か日本の自然検索流入を急激に獲得し始めていた事に違和感を感じ、更に調査してみました。

直接関係性が無いキーワードで上位順位を獲得

早速このドメインの自然検索獲得キーワードを調べた所、以下のようなキーワードで上位順位を獲得していました。

f:id:tairadaishiro:20200127153323p:plain

 獲得キーワードの多くがムートンブーツのブランド名を含む掛け合わせキーワードが殆どでした。

試しに当該ドメインを直接Webブラウザからアクセスした所、そのWebサイトはタイにあるショッピングモールの公式サイトである事が分かりました。ショッピングモールの拠点はタイに数カ所のみであり、日本には拠点は存在しない事から、急にこれらブーツブランドでSEO対策するのは不自然のように見受けました。

f:id:tairadaishiro:20200127153638p:plain

実際に当該ドメイン(タイのショッピングモール公式サイト)が獲得しているキーワードでGoogle検索してみると、3位~6位が海外のドメインであり、タイトル文も「正規新作 高い要求を持つ」など日本語としておかしな点が見られました。

Googleの検索結果からリンクをクリックしアクセスしてみると、すぐに別のドメインにリダイレクトされ、ムートンブーツのECサイトと思われるWebサイトにランディングしました。

f:id:tairadaishiro:20200127213853p:plain

ドメインも「.co.th」から「.com」で終わる別のドメインにリダイレクトされており、先程のタイ王国のドメインとは一切関連が無い他のWebサイトにアクセスした形になります。

市場価格の半分以下の値段

リダイレクト先のWebサイト(ムートンブーツのECサイト)をアクセスしまわると、その異様な安さが目に付くようになります。

f:id:tairadaishiro:20200127154421p:plain

 上の図はあるムートンブーツの価格ページを公式サイトと比較したものです。公式サイトや大手ECサイトでは3万円台で販売されている商品が、当該サイトでは8千円と1/3以下の値段で販売されていました。

このWebサイトでは当ムートンブーツのほぼ全ての商品を掲載してしましたが、どれも1/3以下と市場価格とかかけ離れた破格の値段で販売されていました。

実際に当該商品を他の比較サイトで最安値を調査しましたが、3万円を下回る価格は無く、本当にこの安価な値段で有名ムートンブーツが購入できる可能性は低いのではないかと想定されます。

実際に当該ECサイトで会員登録をしましたが、問い合わせ先のメールアドレスがYahoo!のフリーメールアドレスだったり、事業者情報に住所の記載が無かったりと、一般的なECサイトには無い不可解な点が複数ありました。

なぜタイのWebサイトはこのECサイトにリダイレクトしているのか?

そもそもこのタイのショッピングモールの公式サイトがなぜ他ドメインである怪しいECサイトへリダイレクトしているのでしょうか。

Googleの検索結果6位に表示されていたWebページを調べてみます。

f:id:tairadaishiro:20200127214138p:plain

上の図は検索順位6位に位置していたURLのGoogleキャッシュです。見て分かる通り、ムートンブーツのブランド名や「アウトレット」などを大量に含んだ意味を成さない文字列が大量に表示されています。

文章には「Yahoo!ショッピング」「Buyma」などの大手ECサイト名を含むことから、これら大手ECサイトをクローリングし、取得したコンテンツに上位順位獲得を図りたいキーワードを大量に混ぜたコンテンツを自動で生成し、設置していると想定されます。

以上から、当タイのショッピングモール公式サイトは、クラッキングされ全く関係の無いムートンブーツの関連ワードを含んだ大量のスパムコンテンツを設置されていたと想定されます。

f:id:tairadaishiro:20200127214608p:plain

これらコンテンツがGoogleにインデックス登録され、キーワードをただ並べたスパムコンテンツであっても一定の運用実績があるドメインの場合、Googleからの評価(検索順位につながる評価)を高く得ることができる為、結果的にミドルワードでの上位の検索順位を獲得していると思われます。

これらミドルワードで検索しているユーザーは、ムートンブーツでの購入意思が高い為、安価な価格に惹きつけられ、結果的に個人情報を入力しクレジットカード決済してしまう事で、ネット上に於ける詐欺の被害に遭うのではないかと想定されます。

リダイレクト先ECサイトの保有者は誰か?

ではこのECサイトの保有者は誰なのでしょうか。

タイのショッピングモール公式サイトは明らかに関係の無いECサイトにスパムコンテンツを設置される形で送客している訳ですから、クラッキング(攻撃)された=ECサイトは攻撃者に関わるWebサイトであると想定されます。

f:id:tairadaishiro:20200127215955p:plain

ECサイトのIPアドレスを調べてみると香港のレンタルサーバーであることが分かりました。CloudflareなどのCDNは通さず、直接レンタルサーバーにアクセスしているようです。同一IPで運営されている別のWebサイトは確認できませんでした。

 ドメインのWhoisをDomainWatchで調査してみます。

f:id:tairadaishiro:20200127220226p:plain

登録者名が外国人名であり、個人名でした。同一の名前で登録されている他ドメインを調査した所、同一人物と思われるユーザーが他にも大量のドメインを取得していることが分かりました。

f:id:tairadaishiro:20200127220542p:plain

 他のドメインも実際にアクセスしてみると、ファッション系のECサイトが次々に表示され、先程のムートンブーツのECサイトと同様に市場の価格よりも格段に安い値段で販売を装っていました。

■□

以上の調査から、Webサイトを攻撃し、SEOで上位検索順位の獲得を狙ったワードサラダ的コンテンツを設置し、ファッション系ECサイトを装ったWebサイトにトラフィックを流していると考えられます。

この攻撃手法をSEOポイズニングと呼びます。

コンテンツの品質評価精度が高いGoogleアルゴリズムでさえ、これらワードサラダ的スパムコンテンツであっても設置先Webサイトのドメイン評価値が高いが故に上位検索順位に上がってしまう事を狙い、攻撃手法として今尚利用されている模様です。

ferret-plus.com

Webサイト運営者はどのように身を守るか

知らず識らずのうちに自社サイトがクラッキングされ、しかも詐欺サイトへの送客に加担してしまっているのは最も避けたい事の一つでしょう。

明らかにWebサイトがダウンしたり、メインページが書き換えられれば直ぐにクラッキング被害に気づく事が出来ますが、スパムコンテンツが設置されるだけのSEOポイズニングは自分自らその被害に気づく事は出来ず、送客への加担を長期的にしてしまう事があります。

ではどのようにして自社サイトからSEOポイズニングを守るべきでしょうか。

Googleのサーチコンソールで定期的にチェック

まずGoogleのSearch Consoleを定期的に確認すると良いでしょう。

f:id:tairadaishiro:20200127222340p:plain

既知の攻撃手法であればGoogleのSafe Browsingにより、攻撃にあっているWebページを検知する事ができます。

サーチコンソール→セキュリティの問題 をクリックし、問題が表示されているか確認します。

また、サーチコンソールの検索パフォーマンスから検索結果出現キーワード(クエリ)を定期的に確認すると良いでしょう。SEOポイズニングはGoogleの検索結果から流入を獲得する攻撃手法である為、攻撃を受けた際は全く関係の無いクエリでヒットし始める傾向にあります。

検索パフォーマンスからヒットキーワードやURLを確認し、心当たりのない検索クエリやURL(ディレクトリ)が無いかチェックすると良いでしょう。

WAFの導入と定期的なアップデート

攻撃者は無差別に様々なWebサイト(サーバー)にアクセスし、セキュリティホールがある攻撃ができそうなサイトを探しています。

f:id:tairadaishiro:20200127223242p:plain

毎日様々なボットがアクセスし、セキュリティホールの有無を確認する為のGETリクエストを送信してきます。

f:id:tairadaishiro:20200127223712p:plain

上の図はCloudflareのファイヤーウォールが遮断したアクセスPathの一部です。PHP Unitの脆弱性が存在するか確認するGETリクエストを送信された事が分かります。

当方で運営するWebサイトではよくWordpressの管理画面ログインURL+GETパラメーターのリクエストや、古いJAVAの脆弱性を狙ったGETパラメーターなどが送信されてきます。

これらPre攻撃と見られるリクエストは日夜絶えず送信されており、膨大なBotが世界中のWebサイトをアクセスし、攻撃できるWebサイトを探しているのではないかと想定されます。

これら攻撃に対処する為には、まずはOSからミドルウェア、アプリケーションまでを最新の状態に保つ事が何より第一に行う事でしょう。

特にWordpressなど大多数のユーザーが利用しており、オープンソースである事から、セキュリティホールが見つかった場合、攻撃対象として狙われやすい傾向にあります。

また、既知の攻撃に対してのみ有効ではありますが、WAF(ウェブアプリケーションファイアウォール)を導入する事で、リクエスト自体を未然に防いでくれます。

■□

以上はあくまでも対策案の一例にしか過ぎません。当方はセキュリティの専門家ではない為、参考程度に捉えていただき、実際の対策方法は専門の方に聞いていただきますようお願いします

この実例をSEOとしてどう見るか

今回は「SEOポイズニング」の実例を取り上げましたが、今回の調査でわかった事は「SEOポイズニングは残念ながら今も有効な攻撃手法であった事」でした。

実際に一定のSEO集客には成功してしまっており、他のWebサイトへの送客が成されています。

私が勤めるCINCではSEOのコンサルティングを行っており、Googleのアルゴリズムの動向も日々追っています。

昨今のGoogleアルゴリズムは非常に進化しており、ユーザーの検索意図を考慮した検索順位付けから、様々な検索結果(SERPs Features)フォーマットによる出し分けなどその発展は目覚ましいものです。

2012年~2014年頃にはコンテンツの評価アルゴリズムも大きく飛躍し、スパムコンテンツは上がらないと言われてきました。ワードサラダなど文章として意味を成していない文章コンテンツや、他Webサイトから盗用したコンテンツははむしろ低評価対象になるとも考えられています。

この考えは私も賛同していますし、だからこそユーザーが欲している情報をユーザーが欲している形(フォーマット)で掲載する事がSEO成功の近道でもあると考えています。

しかしGoogleのアルゴリズムはあくまでも機械による計算であり、完璧ではありません。事実、今回の調査で「ワードサラダのコンテンツを日本語が一つも無いドメインに設置した所、評価されてしまい、上位の検索順位を獲得した」という事を見つける形となりました。

本来であれば、設置先のドメインのメインテーマやメイン言語とは全く異なるコンテツであり、なおかつ文章として意味を成していない明らかなスパムコンテンツであれば評価されないと考える所ですが、実際には様々なミドルワードで上位検索順位を獲得している結果となっていました。

SEOは本来、Googleのアルゴリズムを見て施策を考え、打つのではなく、あくまでも検索するユーザーの事を考え、コンテンツをデリバリーする事が第一であると考えます。しかしながら、Googleというプラットフォームに依存している以上、順位を決定するアルゴリズムを完全に無視する訳にはいきません。

このアルゴリズムを“一般的に言われているセオリー”のみで捉えるか、それとも実際の計算結果(=SERPs)を見て事実データからも捉え、自ら解釈するかで見えてくるものは異なってくると思います。

よく「コピーコンテンツは順位が下がります」という話を聞きますが、必ずしもそうは言えないようです。何がコピーコンテンツであり、なぜ評価されないのか、何をユーザーは求めているのか事実データまで踏まえて観察し、思考することが大切なのだと思います。