マルウェアがSEOを操作!? トレンドマイクロがアジアを標的としたサイバー攻撃を確認

トレンドマイクロは2月18日、同社ブログに記事「中国語話者のグループがBadIISを利用してSEOを操作」を掲載した。アジアを標的としたSEO操作キャンペーンについて分析した内容となっている。

正規Webページではなくオンラインカジノなどへ誘導

それによると、トレンドマイクロのリサーチャーがアジア地域で「BadIIS」と呼ばれるマルウェアが大規模に拡散していることを確認。このマルウェアはInternet Information Services（IIS）を標的とし、SEO詐欺や、正規ユーザのブラウザに不正なコンテンツを注入するために利用される可能性が高いという。具体的には、許可されていない広告の表示、マルウェアの配布、特定のグループを狙ったウォータリングホール攻撃などが含まれる。

BadIISマルウェアが侵入すると、「違法なギャンブルサイトへの誘導」「不正なサーバへの接続」などが発生する可能性がある。実際にSEOを操作し、ユーザを違法なギャンブルサイトへリダイレクトする攻撃キャンペーンがすでに確認されているとのこと。アジアを中心に影響が発生しており、今後深刻な被害の発生も否定できない。

トレンドマイクロでは、ファイルの調査やネットワークトラフィックの分析を通じて、影響を受けた地域を特定。被害が確認された国は、インド、タイ、ベトナム、フィリピン、シンガポール、台湾、韓国、日本、ブラジルだった。バングラデシュも標的となる可能性があるという。

さらに検体を分析した結果、抽出されたドメインや簡体字中国語で書かれた文字列など、マルウェアの亜種は中国語を話すグループによって作成・展開された可能性が高いと推察されている。

インストールされたBadIISは、WebサーバからリクエストされたHTTPレスポンスヘッダー情報を改ざんすることが可能となり、“SEO詐欺モード”ではHTTPヘッダー内の「User-Agent」「Referer」フィールドなどを確認し、特定ワードが含まれている場合、正規Webページではなくオンライン違法ギャンブルサイトなどへリダイレクトするという。

また一般的なレスポンスに不審なJavaScriptコードを挿入し、悪意のあるWebサイトへリダイレクトする“インジェクターモード”も確認されている。

トレンドマイクロでは、攻撃者に狙われる可能性のある資産を特定し、最新のセキュリティパッチが適用されているか定期的に確認すること、IISモジュールの異常なインストールを監視すること、IISサーバへの管理者アクセスを制限すること、すべての特権アカウントで強力なパスワードと多要素認証（MFA）を適用することなどを推奨している。