PCで遊んだ日々の備忘録

Making PC and Customization PC

コンピュータに損害を与える可能性のあるサイトを調べてみる

先日アップロードした当サイトのページを Googleでキーワード検索していると、表示された検索結果の中に「このサイトはコンピュータに損害を与える可能性があります」とメッセージの付いたページがありました。

もちろん当サイトのページではありません。下の画像がその様子を捉えたスクリーンショットです。

 

通常ならばページ本文のリンク付きh(見出し)タグなどに記述されたテキストが表示される場所に、このように表示されているのを初めて見ました。

またこのページは日本語のタイトル名でありアダルトサイトでもない、にもかかわらずドメインの国別コードが .br(ブラジル)になっています。

そこでこのページのサイトのドメインを少し調べてみました(2017/03)

後述していますが「このページは第三者によってハッキングされている可能性があります」と検索結果に表示されているページもありました

ページを開いてみた結果、分かったこと

下記の環境にてそのページを開いてみました。

  • PC|メインPC(自作機)
  • OS|VirtualBox 上の Ubuntu 14.04LTS
  • ブラウザ|Firefox 52.0.1

まず検索結果に表示されている「このサイトは...」のリンクをクリックすると Googleのウェブ検索ヘルプが表示されました(fig1)

次にページタイトルをクリックすると Googleからの警告が表示され(fig2)さらにその本文中の「セーフブラウジング診断ページ」のリンクをクリックすると Google透明性レポートのセーフブラウジングのサイトステータスが表示されました(fig3)

Googleウェブ検索ヘルプの画像

fig1.Googleウェブ検索ヘルプ

警告ページの画像

fig2. 警告ページ

Google透明性レポートの画像

fig3. Google透明性レポート

続けて透明性レポートのステータスを検索する URLの中に表示されている URLを Firefoxのアドレスバーにコピーしてアクセスすると「攻撃サイトとして報告されています!」の表示になります(fig4)

そしてページ右下の この警告を無視するをクリックするとこのドメインがホスティングされているサーバーから 閲覧禁止のレスポンスコード403が返ってきました(fig5)

ここでもう一度透明性レポートのページに戻って今度は「サイトの安全性に関する情報」に載っているドメインを検索すると NTTセキュリティジャパン のツイートがヒットしました(fig6)

FireFoxの警告ページの画像

fig4. FireFox 警告ページ

403エラーの画像

fig5. 403エラー

NTT Twitterの画像

fig6. NTT Twitter

Twitterには次のように記述されています。

改ざんサイトから arpanet1957.com を経由して、偽のFlashアップデートサイトへ誘導される攻撃を複数の組織で観測しています。偽サイトのドメインは複数存在しますが、リダイレクト後はマルウェアがダウンロードされ、ユーザが意図的に実行することで感染に至ります。2017年2月14日

もう少し分かりやすく説明すると、本物そっくりに偽装した Flash Playerプラグインを配布しているページにユーザーを誘導しマルウェア入りの実行ファイルを手動または自動的にダウンロードさせる。

ユーザーは本物と思ってパソコン上で実行してしまい感染したことに気が付かない。

そして改ざんサイトやページの入口の1つが当ページ冒頭のスクリーンショットのサイトと言うわけです。

▲ 目次へ

他にもあった改ざんされているページ

前のセクションで「入口の1つ」と書いたのには理由があります。

下の画像を見て下さい。この画像は site:URL でGoogle検索した結果の1ページ目のスクリーンショットです。

 

全部で 8ページに渡って 75件ありました。特徴的なのは同じドメインのページでありながら全く異なる業種のページで構成されていることです。

つまり少なくとも 75個のページが改ざんされ、インデックスされていた事が推測されます。過去形になっているのは info:URL で検索するとドメイン(サイト)の情報が出てこないからです。

ところでこのドメインのサイトがどのようなサイトだったのか調べてみました。サイトはもちろんのこと Googleのキャッシュも削除されているので、次のサイトで検索してみました。

Internet Archive Wayback Machine

MX TOOLBOX

  • ブラックリストには登録されていない
  • 2012/09/24~2016/12/23間のサイトのスクリーンショットが保存されていた
  • ブラジル国内に実在するパソコンショップのサイト。2017/03現在、別ドメインで運営している
  • サイトデザインは変わっているがサイト名が同じ、トップページの文言がほぼ同じ

もしかしたらこのサイトも不正アクセスされ踏み台にされていたのかもしれませんね。

▲ 目次へ

雑感

偶然にも不正アクセスされ改ざんされたページに出くわし正直驚きました。ページタイトルもスニペットも日本語なのにドメインの国別コードがブラジルになっている。

一般的なユーザーはドメインなど見ませんよね。あげく飛ばされた(リダイレクト)先には偽装サイトのマルウェアが待っている。気をつけましょう。

もう1つ、実は巧妙に作り込まれた詐欺サイトの可能性も考えられると思います。しかし今回のページの場合約30万件の検索結果のトップページに表示されています。意図的に特定のページをトップページに表示させる事など現在の Googleアルゴリズムにおいては出来ないと思います。

なので既にある程度のページランクを持っているサイトを物色し利用しているのだと思います。

「このサイトはコンピュータに損害を与える可能性があります」のメッセージのない改ざんされたサイトが多数存在しています

今回改ざんされていたのは全て EC(通販)サイトのページでした。そこで site:URLの検索結果に表示されているページタイトルに使われている単語をキーワードに Google検索してみました。

キーワード|CW-KB23QB BN8 オフホワイト 日本製

!!大量に出てきます。日本語のタイトル、スニペットなのにドメインの国別コードが .br,.in,.de,.cl,.cz,... 。何かの間違いではないのかと我が目を疑いました。

試しにその中の1個のドメインを検索してみるとページタイトルの下に「このページは第三者によってハッキングされている可能性があります」のメッセージが表示されていました。

続けて site:URLで検索すると 84件の日本語の ECサイトのページがインデックスされていました。さらに info:URLでもページの情報が表示されたので間違いなく海外のドメイン名でインデックスされていますね。

もちろんそのページタイトルをクリックすると海外ドメインのサイトにリダイレクトされます。あるいは別名のドメインなのに同じ日本語の ECサイトにリダイレクトされます。

今これらのサイトは野放しのまま他の健全なサイトと混在しています。

サイトの情報を知りたい時は

Google検索窓に URLを入力またはコピーぺーストすればそのサイトのインデックス情報などが表示されます。

ただしサイト側でインデックスを拒否しているページは表示されません。

  • site:www.ayashiisaito.com
    • 実際の状況とタイムラグがあり大まかな情報になります
  • info:www.ayashiisaito.com / wana / page.html
    • 実際の状況に即した情報になります
 

補足|2019年4月現在 site ,info のサポートは終了しています。Google Search Consoleの「URL検査ツール」で代用できますが Gmailなどの Googleアカウントによるログインが必要です。

2017年4月1日 追記

当ページをアップロードした後、Googleウェブマスターヘルプフォーラムで次のような質問投稿がありましたので紹介します。

自サイトのコピーサイトが大量に作られ、詐欺サイト?に誘導されてしまいます

この投稿の内容が当ページで取り上げた改ざんされたサイトの様子によく似ています。また、この投稿内容の対処法のアドバイスとともに次のサイトでこの件について詳しい解説が掲載されています。

ECサイト+αのコピースパム考察

ウェブの仕組みの知識をある程度持っていないと理解するのは難しいと思いますが一読してみて下さい。

▲ 目次へ

Top of Pageの画像
sidemenuの画像