対象試験と出題頻度
詳細をクリックして確認
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★☆☆☆
ランクC(応用)
用語の定義
SEOポイズニング(SEO Poisoning)とは、一言で言うと「検索エンジンの検索結果に悪意のあるWebサイトを上位表示させ、ユーザーをマルウェア感染やフィッシング詐欺に誘導する攻撃」のことです。
イメージとしては、「本屋の『おすすめコーナー』に、見た目は普通だけど中身が詐欺本の偽物を紛れ込ませる」ようなものです。
「SEO(Search Engine Optimization=検索エンジン最適化)」の技術を悪用し、「ポイズニング(Poisoning=毒を盛る)」することで、検索結果という信頼される場所に「毒」を仕込む攻撃手法です。
📊 SEOポイズニングの攻撃フロー
| STEP | 内容 |
|---|---|
| ① 準備 | 攻撃者が悪意のあるWebサイトを作成(マルウェア配布サイト、フィッシングサイトなど) |
| ② SEO操作 | ブラックハットSEO技術を使い、検索結果の上位に表示させる (リンクファーム、キーワードスタッフィング、正規サイトの改ざんなど) |
| ③ 誘導 | ユーザーが検索結果から悪意のあるサイトにアクセス 「検索上位=信頼できる」という心理を悪用 |
| ④ 被害 | マルウェア感染、個人情報窃取、フィッシング詐欺など |
解説
SEOポイズニング(SEO Poisoning)は、検索エンジンのランキングアルゴリズムを悪用し、悪意のあるWebサイトを検索結果の上位に表示させる攻撃手法です。多くのユーザーは「検索結果の上位に表示されるサイトは信頼できる」と考えるため、この心理を逆手に取った巧妙な攻撃です。
- トレンドジャッキング:話題のニュース、有名人のスキャンダル、大きなイベント(オリンピック、ワールドカップなど)に関連するキーワードで悪意のあるサイトを上位表示させます。人々が積極的に検索するトピックを狙うことで、被害者を効率的に集められます。
- 正規サイトの改ざん:既存の信頼性の高いWebサイトをハッキングし、悪意のあるコードやリンクを埋め込みます。正規サイトのSEO評価を利用するため、より効果的に上位表示できます。
- ドライブバイダウンロードとの組み合わせ:SEOポイズニングで誘導したサイトで、ドライブバイダウンロード(閲覧しただけでマルウェア感染)を仕掛けることが多いです。
💡 なぜSEOポイズニングは効果的なのか?
SEOポイズニングが危険な理由は、ユーザーの検索行動を悪用する点にあります。多くの人は検索エンジンを信頼しており、上位表示されたサイトを「Googleが推奨している=安全」と無意識に判断します。また、フィッシングメールのように「怪しいリンクをクリックした」という自覚がないため、被害に気づきにくいです。IPAの「情報セキュリティ10大脅威」でも、「インターネット上のサービスからの個人情報窃取」の手法の一つとしてSEOポイズニングが言及されています。
SEOポイズニングは、個人ユーザーだけでなく企業も標的にします。
例えば、「○○株式会社 ログイン」「△△銀行 オンラインバンキング」といった検索キーワードで偽サイトを上位表示させ、従業員や顧客のログイン情報を窃取するケースがあります。
また、ソフトウェアのダウンロードサイトを偽装し、正規ソフトにマルウェアを仕込んだ「トロイの木馬」を配布する手口も報告されています。
具体的な活用例・対策
SEOポイズニングへの対策は、ユーザー側の注意とシステム側の保護の両面から行います。
- URLの確認: 検索結果をクリックする前に、URLを確認する習慣をつけましょう。正規サイトに似せた紛らわしいドメイン(例:「g00gle.com」「amaz0n.co.jp」など)に注意します。
- 公式サイトへの直接アクセス: 銀行、ECサイト、企業のログインページなど重要なサイトは、検索結果からではなく、ブックマークや公式アプリから直接アクセスします。
- セキュリティソフトの導入: Webレピュテーション機能(危険なサイトを警告する機能)を持つセキュリティソフトを導入し、悪意のあるサイトへのアクセスをブロックします。
- ブラウザのセーフブラウジング機能: Google Chrome、Firefox、Edgeなどの主要ブラウザには、危険なサイトを警告する機能が標準搭載されています。これを無効にしないでください。
- トレンドキーワードへの警戒: 話題のニュースやイベントに関連する検索では、特に注意が必要です。公式情報源(ニュースサイト、公式SNSアカウントなど)を優先的に参照しましょう。
- HTTPS接続の確認: 個人情報を入力する前に、サイトがHTTPS(鍵マーク)で保護されているか確認します。ただし、悪意のあるサイトもHTTPSを使用することがあるため、これだけでは不十分です。
⚠️ 実務でのポイント(企業のセキュリティ担当者向け)
企業としては、以下の対策も検討してください。
① 自社ブランドの監視:自社名やサービス名で検索した際に、偽サイトが上位表示されていないか定期的にモニタリング
② DNSフィルタリング:社内ネットワークで既知の悪意あるドメインへのアクセスをブロック
③ 従業員教育:SEOポイズニングの手口と対策を定期的に周知
④ インシデント対応:自社サイトが改ざんされてSEOポイズニングの踏み台にされた場合の対応手順を準備
試験ではこう出る!
情報セキュリティマネジメント、基本情報技術者、応用情報技術者で出題されます。以下のキーワードとセットで覚えましょう。
【重要キーワード】
- 検索結果の上位に悪意のあるサイトを表示
- ブラックハットSEO
- トレンドジャッキング
- ドライブバイダウンロードとの組み合わせ
- Webレピュテーション / セーフブラウジング
試験問題で「検索エンジンの検索結果に悪意のあるサイトを上位表示させ、利用者を誘導する攻撃」や「SEO技術を悪用してマルウェア配布サイトへ誘導する攻撃」といった記述があれば、それは「SEOポイズニング」に関する記述です。
📊 ユーザーを悪意あるサイトへ誘導する攻撃手法の比較
| 攻撃手法 | 誘導方法 |
|---|---|
| SEOポイズニング | 検索結果の上位表示を悪用 |
| フィッシング | 偽メールや偽SMSでリンクをクリックさせる |
| DNSキャッシュポイズニング | DNSの名前解決を改ざんして偽サイトへ誘導 |
| 水飲み場攻撃 | 標的がよく訪れる正規サイトを改ざん |
📝 IPA試験での出題ポイント
SEOポイズニングは、「検索エンジン」「上位表示」「悪意のあるサイトへの誘導」というキーワードが特徴です。DNSキャッシュポイズニングとの違い(検索結果 vs DNS名前解決)や、フィッシングとの違い(検索経由 vs メール経由)を問う問題が出題される可能性があります。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. SEOポイズニングに関する説明として、最も適切なものはどれでしょうか?
- A. 検索エンジンの検索結果に悪意のあるサイトを上位表示させ、ユーザーをマルウェア感染やフィッシングに誘導する攻撃
- B. DNSサーバーのキャッシュに偽の情報を注入し、ユーザーを偽サイトに誘導する攻撃
- C. 偽のメールを送信し、本文中のリンクから偽サイトに誘導してログイン情報を窃取する攻撃
正解と解説を見る
正解:A
解説:
SEOポイズニングは、検索エンジン最適化(SEO)の技術を悪用し、悪意のあるWebサイトを検索結果の上位に表示させ、ユーザーをマルウェア感染やフィッシング詐欺に誘導する攻撃です。ユーザーが「検索結果の上位=信頼できる」と考える心理を悪用します。対策としては、URLの確認、公式サイトへの直接アクセス、セキュリティソフトのWebレピュテーション機能の活用などがあります。
選択肢Bは「DNSキャッシュポイズニング」の説明です。選択肢Cは「フィッシング(メールによる誘導)」の説明であり、いずれもSEOポイズニングとは誘導方法が異なります。
