「Google Search Console」を悪用して“サイバー攻撃SEO”、その深刻度は という記事を見つけました
クラウドベースのWebサイトセキュリティソリューションを提供する米Sucuriは2015年9月、最近広がっているハッキングの新たな手口を報告した。Google検索と相性の良いWebサイトの作成および維持に使われるツール「Google Search Console」で悪意あるサイト所有者アカウントを追加し、スパムコンテンツの拡散や、ブラックハットSEO(不正な検索エンジン最適化)を図るというものだ
Sucuriのシニアマルウェア研究員、デニス・サイングブコ氏は、ハッカーは任意のGoogleアカウントでSearch Console(旧称:「Googleウェブマスターツール」)にアクセスし、ハッキング済みのサイトについて所有者としてGoogleの確認を受けることで、「(1)他の確認済みサイト所有者を削除する、(2)統計情報を集めてブラックハットSEOに利用する、(3)スパムコンテンツを組み込んだサイトのサイトマップを送信し、スパムコンテンツを含むページがGoogleのWebクローラに迅速に検出されるようにする、(4)サイトの警告通知を受け取り、Googleがどのくらい早くハッキングを発見できるかを把握する――といったことが可能になる」とブログで述べた。
サイングブコ氏によると、Search Consoleでは1つのサイトについて、複数のGoogleアカウントがそれぞれ個別に、所有者としてGoogleの確認を受けることが可能になっており、確認を受けるには通常、Webサイトのファイルサーバにアクセスできること、DNSレコードを管理できること、関連するGoogleサービス(「Googleアナリティクス」など)の管理者であることのいずれかを証明する必要があるという。
こうした仕組みの悪用は見つかりにくい。サイト所有者として確認されれば、悪意ある者がSearch Consoleで他のサイト所有者を削除でき、それらの所有者はそうした操作を受けたことを知らされず、その後サイト設定が変更されても、その通知も来なくなるからだ。
ハッカーがサイト所有者としてGoogleの確認を受けるためによく使う手口の1つは、Webサイトをハッキングした後で、特殊なHTMLファイル(Googleが生成し、Webサイト所有者がサイトにアップロードする)に含まれるGoogleのサイト確認コードを見つけるというものだ。こうしたファイルは、同じものを使って複数のサイトの所有者確認が行われる。
困ったことに、Search Consoleで悪意あるサイト所有者を削除するのはかなり難しいことがあると、サイングブコ氏は述べている。Webマスターが、新しい所有者の追加を知らせる通知を受け、心当たりがなかったのでそのアカウントを削除しようとしたが、削除に必要なHTMLファイルが見つからなかったというケースもある(サイト所有者を削除するには、所有者としての確認時に使われたトークンも削除する必要があり、このアカウントの場合はそれがHTMLファイルだった)。
サイングブコ氏は、Search Consoleでの悪意あるサイト所有者の問題を緩和するために、Googleにできる対策は2つあると説明している。1つは、Search Consoleでサイト所有者が削除されたら、そのアカウントにそれを通知すること。もう1つは、新しいサイト所有者が追加されるたびに、既存のサイト所有者全員にそれを通知することだ。いずれも不正行為の可能性に注意を喚起する効果がある。Googleは以前から後者を実施しているが、前者は手付かずだ。
Googleにコメントを求めたが、本稿執筆時点で回答は得られていない。
サイングブコ氏によると、Search Consoleの利用者にとっては、こうした攻撃のリスクを軽減するための基本は、新しいサイト所有者の追加の通知に注意を払い、不正な追加だと判断したら、迅速に対処することから始まるという。だが、ハッキングを発見する方法はまだ他にもある。攻撃者が本当のサイト所有者を削除し、その本当の所有者に通知が届かなくなることもあり得るだけに、通知以外の方法も重要だ。
サイングブコ氏は、攻撃はマルウェアスキャンや、スパムキーワードに関するGoogleのアラートおよび完全性管理を通じて検出できる可能性があると述べている。完全性管理が検出につながるのは、ハッキングにはファイルの作成や変更が伴うからだ。
「攻撃者の狙いは、Googleにインデックス登録されることにある。このため、よくあるスパムキーワードを自分のサイトで検索すると、勝手に作られたスパムページが見つかるかもしれない。Webマスターは、正規のコンテンツには見られそうもないキーワードだけを検索するとよいだろう。ハッキングされたサイトのスパムを見つけるのに役立つ一般的なキーワードとして、“cheap”(安い)があるが、このキーワードでは、見つける手間がかえって増えてしまう恐れがある。通常のWebページでもよく使われる言葉だからだ」(サイングブコ氏)
何か足の引っ張り合いのような気がする
セキュリティ強化に努めてよ
クラウドベースのWebサイトセキュリティソリューションを提供する米Sucuriは2015年9月、最近広がっているハッキングの新たな手口を報告した。Google検索と相性の良いWebサイトの作成および維持に使われるツール「Google Search Console」で悪意あるサイト所有者アカウントを追加し、スパムコンテンツの拡散や、ブラックハットSEO(不正な検索エンジン最適化)を図るというものだ
Sucuriのシニアマルウェア研究員、デニス・サイングブコ氏は、ハッカーは任意のGoogleアカウントでSearch Console(旧称:「Googleウェブマスターツール」)にアクセスし、ハッキング済みのサイトについて所有者としてGoogleの確認を受けることで、「(1)他の確認済みサイト所有者を削除する、(2)統計情報を集めてブラックハットSEOに利用する、(3)スパムコンテンツを組み込んだサイトのサイトマップを送信し、スパムコンテンツを含むページがGoogleのWebクローラに迅速に検出されるようにする、(4)サイトの警告通知を受け取り、Googleがどのくらい早くハッキングを発見できるかを把握する――といったことが可能になる」とブログで述べた。
サイングブコ氏によると、Search Consoleでは1つのサイトについて、複数のGoogleアカウントがそれぞれ個別に、所有者としてGoogleの確認を受けることが可能になっており、確認を受けるには通常、Webサイトのファイルサーバにアクセスできること、DNSレコードを管理できること、関連するGoogleサービス(「Googleアナリティクス」など)の管理者であることのいずれかを証明する必要があるという。
こうした仕組みの悪用は見つかりにくい。サイト所有者として確認されれば、悪意ある者がSearch Consoleで他のサイト所有者を削除でき、それらの所有者はそうした操作を受けたことを知らされず、その後サイト設定が変更されても、その通知も来なくなるからだ。
ハッカーがサイト所有者としてGoogleの確認を受けるためによく使う手口の1つは、Webサイトをハッキングした後で、特殊なHTMLファイル(Googleが生成し、Webサイト所有者がサイトにアップロードする)に含まれるGoogleのサイト確認コードを見つけるというものだ。こうしたファイルは、同じものを使って複数のサイトの所有者確認が行われる。
困ったことに、Search Consoleで悪意あるサイト所有者を削除するのはかなり難しいことがあると、サイングブコ氏は述べている。Webマスターが、新しい所有者の追加を知らせる通知を受け、心当たりがなかったのでそのアカウントを削除しようとしたが、削除に必要なHTMLファイルが見つからなかったというケースもある(サイト所有者を削除するには、所有者としての確認時に使われたトークンも削除する必要があり、このアカウントの場合はそれがHTMLファイルだった)。
サイングブコ氏は、Search Consoleでの悪意あるサイト所有者の問題を緩和するために、Googleにできる対策は2つあると説明している。1つは、Search Consoleでサイト所有者が削除されたら、そのアカウントにそれを通知すること。もう1つは、新しいサイト所有者が追加されるたびに、既存のサイト所有者全員にそれを通知することだ。いずれも不正行為の可能性に注意を喚起する効果がある。Googleは以前から後者を実施しているが、前者は手付かずだ。
Googleにコメントを求めたが、本稿執筆時点で回答は得られていない。
サイングブコ氏によると、Search Consoleの利用者にとっては、こうした攻撃のリスクを軽減するための基本は、新しいサイト所有者の追加の通知に注意を払い、不正な追加だと判断したら、迅速に対処することから始まるという。だが、ハッキングを発見する方法はまだ他にもある。攻撃者が本当のサイト所有者を削除し、その本当の所有者に通知が届かなくなることもあり得るだけに、通知以外の方法も重要だ。
サイングブコ氏は、攻撃はマルウェアスキャンや、スパムキーワードに関するGoogleのアラートおよび完全性管理を通じて検出できる可能性があると述べている。完全性管理が検出につながるのは、ハッキングにはファイルの作成や変更が伴うからだ。
「攻撃者の狙いは、Googleにインデックス登録されることにある。このため、よくあるスパムキーワードを自分のサイトで検索すると、勝手に作られたスパムページが見つかるかもしれない。Webマスターは、正規のコンテンツには見られそうもないキーワードだけを検索するとよいだろう。ハッキングされたサイトのスパムを見つけるのに役立つ一般的なキーワードとして、“cheap”(安い)があるが、このキーワードでは、見つける手間がかえって増えてしまう恐れがある。通常のWebページでもよく使われる言葉だからだ」(サイングブコ氏)
何か足の引っ張り合いのような気がする
セキュリティ強化に努めてよ