大阪のホームページ制作会社

ホームページ制作やSEO対策を提供する大阪のセブンデザインが運営するスタッフブログ

HP制作・運営
2015/2/02

2015年1月ワードプレスの脆弱性をついたSEOスパム

2015年01月26日に、SEMR(#SEMR)で、「WordPressの脆弱性をついたSEOスパムが増加中注意を」と報じられていましたのでご紹介します。

今回の記事では、古いバージョンのワードプレスを利用しているホームページや、ホスティングサービスが提供しているCGIの設定に不備があったwebサイトが狙われたようです。

ワードプレスのバージョンアップを行っていない企業サイトがターゲットになる例は定期的にあるため、現在ワードプレスのバージョンアップを行っていない企業様は、この機会にバージョンアップすることをお薦めします。

報じられた内容について

当情報は、SEMR(#SEMR)の2015年01月26日の記事に掲載されております。

バッグや小物、靴、洋服などのブランドアイテム関連のキーワードをターゲットとした SEOスパムが増加中。偽ブランド品販売サイトやネット通販詐欺サイトへ誘導するページがスパムリンクと共に埋め込まれている。古い WordPress の脆弱性を狙われて不正アクセスを受けたことが原因だが、標準インストールされた日記や掲示板 CGI などが悪用されている。

2015年1月10日前後と同1月20日前後を中心に、WordPress の脆弱性をついたSEOスパムが急増している。Google ペイデイローンアルゴリズムが想定していた、スパム汚染が酷いキーワード(洋服、靴、雑貨等のブランド、例えばグッチやエルメス、ティファニー)が本件のターゲットになっている。

WordPress の /wp-includes 等に不正なページを設置

WordPressをインストールした時に作成される3つの主要ディレクトリ、 /wp-content、 /wp-admin、/wp-includes が不正侵入を受けたのが原因で、ウェブスパムに悪用されている。今月に入って確認しているスパムは、バッグや財布などのブランド販売サイトを装った、ネット通販詐欺サイトへ検索利用者を誘導することを狙ったものだ。

例えば、『サンローラン 財布』といった、ブランドとアイテムを掛け合わせた検索キーワードなどで比較的 Google 検索上位に表示されることが確認できる。URLアドレスに wp-content や wp-includes が含まれていることが目印だ。クリックすると、(怪しい)通販サイトへリダイレクトされる。ファイル名やディレクトリ名はランダムに作成されているようだが、今回観測しているスパムは、Nelson-Mandela (ネルソン・マンデラ)というディレクトリ名を多用している。

『$キーワード$ inurl:/wp-includes』や『$キーワード$ inurl:/wp-content』と検索すると(例 『 ナイキ エアフォース1 inurl:/wp-content』『イルビゾンテ inurl:/wp-admin』など)、1月10日前後と同21日前後を中心にハイジャックされた多数のサイトに設置された形跡を観察できる。共通しているのは、ページの左上に青い背景で白抜き A のアイコンがついていること。リンク先は 51.la 。

Google経由のアクセスを不正サイトへ誘導

ハイジャックされたWebサイトに埋め込まれたページは、Google 検索経由でアクセスするとターゲットの通販サイトに転送されるが、そのページのURLをブラウザのアドレスバーに直打ち(コピー&ペースト)した場合は普通にページの内容を閲覧することができる。条件付きリダイレクト(Conditional Redirects)含めて内容は使い古された古典的なSEOスパムだが、設置された他の不正ページにリンクを供給することで、いずれかのページが Google検索上位に表示されるように仕掛けをしている。

ページの内容(作りこみ)はランダムで、日本の官公庁や地方自治体のヘッダーやフッターをコピペしたものも発見できた(例 青森県の公式ページのヘッダーを転載したケースなど)。

詐欺サイトそのもの(ドメイン)を検索上位に表示させることは難しいが、本手法のように既存のサイトにターゲットサイトへ誘導(転送)するページを埋め込む方法であれば、ウェブスパマーにとってそれほど難しい仕事ではない。本件のように世界中の不特定多数の不正侵入したWebサイトを組織的にスパムに活用すれば、成功率は上げることができる。

なお、リダイレクト先の通販サイトをチェックしたところ、大半は怪しい日本語、大幅な値引き販売、特定商取引法に基づく表示なし(電話番号や住所の記載なし)、責任者名がいかにもテンプレート的な名前など、詐欺の可能性が高いブランド品の激安通販サイトだったが、一部、普通(?)の通販サイトも含まれていた。

標準インストールの日記や掲示板CGIも悪用

今回確認したSEOスパムは古いバージョンのWordPressの脆弱性をついたもののほか、一部の日本国内のホスティングサービスが標準で提供している 日記 (diary)CGI の設定に不備があるものも狙われている。該当Webサイトが利用しているサーバ会社を調査したところ特定グループに偏りがみられた(アルファベット3文字の会社)。

本調査段階で発見した、WordPress や日記CGIに不正アクセスを受けた可能性のある日本国内の法人企業の一部には1月24日に直接電子メールで連絡したものの、26日正午時点でまだ対応されていない(問題のディレクトリが削除されていない)企業も少なくなかった。

商標権者は検索結果ページのレピュテーション管理に意識を

具体的なキーワードは避けるが、ブランドキーワード単体で検索した時に、1位に表示される公式サイトに混ざって(20位以内)不正サイトへ誘導するページが掲載されているケースを確認している。こうした検索結果の放置は自社のブランド棄損につながる恐れがあり、また一般利用者を適切でないページへ誘導してしまうリスク等もあるため、常に検索結果の状態を監視してブランドを保護するための取り組みを行っておきたい。

引用元:

WordPressの脆弱性をついたSEOスパムが増加中 注意を

ワードプレスのバージョンアップの重要性

ワードプレスは、最もユーザ数の多いオープンソースのビジネスブログとなるため、定期的にこのような問題が起こってしまいます。

ワードプレスでは、このような問題が起こらないように、定期的にセキュリティーの向上を目的としたバージョンアップを行っており、バージョンアップをしっかりと行っている企業様であれば、今回のニュースはまったく関係の無い話になります。

多くの方がバージョンアップを行わない理由は、「ワードプレスをバージョンアップすると、レイアウト崩れが起こったり、ウェブサイトの表示に不具合が起こってしまう可能性があること」だと思いますが、バージョンアップを行う前にバックアップデータを取得しておくことで、万が一ホームページに不具合が生じた場合であっても、すぐに元の状態に戻すことが可能です。

この問題は、単に御社のウェブサイトだけの問題ではなく、万が一御社のウェブサイトがターゲットとなってしまったら、御社のwebサイトに訪れた検索エンジンユーザが、ネット通販詐欺サイトへと転送されてしまいます。

多くのインターネットユーザが安全にウェブサイトを活用するためにも、ワードプレスのバージョンアップは、1クリックで行うことができるので、この機会にバージョンアップを行うようにしましょう。

ワードプレスのバージョンアップの重要性
このページのトップへ