2012年1月26日掲載

株式会社Doctor Web Pacific

Doctor Webは、東欧・ロシアにおいて、ポピュラーな検索エンジンのユーザーを狙った悪意のあるリンク拡散の新たな詐欺手法を発見しました。インターネット検索の際には、ブラウザの新しいタブを開いて複数の検索エンジンを同時に使用することが多々あります。犯罪者はそれらの検索結果ページを、詐欺サイトへのリンク（Googleのリンクフォーマットを模倣）や悪意のあるソフトウェアを拡散するリソースといった偽のページに置き換えます。

統計によると、毎日数百万の人が検索エンジンを利用し、Googleサーバーへのリクエスト件数は月平均10億を超えています。確かに、インターネットでの情報検索においてGoogle あるいはYandexのようなポピュラーな検索エンジンほど容易かつ便利な方法はありません。サイバー詐欺師達が利用したのはそのポピュラリティーでした。

情報検索の際には、検索結果を表示するための新しいタブやブラウザウィンドウを開きながら複数の検索エンジンを同時に使用することが珍しくありません。検索エンジンの結果ページ（Search Engine Result Page略してSERP）と呼ばれるそのようなページが、検索を急ぐあまりユーザーはページが1つ増えていることに気が付かないであろうと目論むサイバー詐欺師達によって利用されました。しかも、シンプルなリンクセットに比べ検索エンジンに対するユーザーの信頼度は高いのです。犯罪者が偽の検索エンジンそのものを作成しているケースもあり、Yandexのインターフェイスをほとんど完全に模倣した偽検索エンジン「LiveTool」やソーシャルネットワークVKontakteを真似たページに置かれた「会社概要」のリンクなどがその例です。

偽検索エンジンのページは、本物の検索エンジンの検索結果に表示されたリンクをクリックすると自動的に開かれることがあります。さらに、通常この悪意のある結果ページは検索した情報に関係のあるリンクをも含んでいるため、ユーザーは一見しただけでは偽のページであると気づきません。このページ上にあるリンクをクリックしてしまうと、悪意のあるソフトウェアを拡散するリソースや詐欺サイトへと飛ばされます。

これまでも犯罪者達はソーシャルネットワークサイトのコピーを作成してきましたが、検索エンジンのページまたは検索エンジンそのものまでもコピーしてしまうこの手法は全く新しい現象といえます。Doctor Webは、検索エンジンを使用する際には警戒を怠らずブラウザのアドレスバーに表示されたURLに十分注意することを推奨します。またそのような疑わしいリソースは、望ましくないサイトのデータベースに直ちに追加されます。