CMSを狙った改ざんサイトの分析

CMSを狙った改ざんサイトの分析

リクルートテクノロジーズ 猪野です。
WordPressのREST APIを用いた改ざんが世間を賑わせています(https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html)が、サイト改ざんの攻撃者の目的は何なのでしょうか?自己顕示欲だけでしょうか?
今回はRecruit-CSIRTで観測したいたずら目的でない改ざんの実態、SEOポイズニングと詐欺サイト、インフラ側から見た改ざんサイトの挙動について解説します。

調査のきっかけ

リクルートグループのサービスへのリンク元のURLを分析していたところ、特定のパターンの文字列がリンク元のURLに見つかり、しかもそれが複数のドメインにまたがっているという怪しいデータが見つかったところから今回の調査が始まりました。
この時、発見したデータのサンプルです。

(例: http://ドメイン/dogfood/wuupzhwt-cpfyala-uvvauwce-pbwzonkv/lukbqefy-j10001-dscx-mzvlyt-nriz-k565316-zcei-cehugw-cfyajeb-cpliavvp/)

該当のURLへアクセスしてみると当社のコンテンツをコピーしたページを表示しています。しかし、トップドメインに対してアクセスしてみると普通の企業のWebサイトが表示されました。

これらのWebサイトを複数解析してみたところ、Wordpressで作成されたサイトを改ざんし、サブディレクトリ以下に偽ページを構築していることが判明しました。(便宜上、これらの改ざんされたサイトを偽サイトと表記させて頂きます。)

なお、これらの偽ページのヘッダーとフッターには同じサイトの偽ページへのリンクが多数記載されていました。リンク先を確認するとリクルートグループだけでなく多数の日本のECサイトのコンテンツがコピーされていることがわかりました。

%e5%9b%b3%e7%89%881

改ざんサイト上の偽ページの例

インフラ側からの分析

これらのコンテンツはどういう形で取得されているのでしょうか?
これらの偽サイトからオリジナルページへのアクセスを観測してみた結果、偽ページへのアクセスのタイミングでオリジナルページへもアクセスが発生していることが判明しました。

今までの経験から、リバースプロキシが動作している可能性が高いと判断し、アクセス元IPアドレスからの通信を遮断したところ、偽サイト側でも表示が止まりました。

攻撃者の目的の追求

さて、偽ページからコンテンツ取得は防止できることが明らかになりましたが、そもそも、攻撃者の意図が不明という点がもやもやします。

一般的なフィッシングサイトと異なり、見た目からして不自然であり、アカウント取得を目的としたものではないのは明らかでした(機能も備わっていませんでした)。いくつかの偽サイトの動作を調査した結果、別のサイトへのリダイレクトが観測されました。

ユーザーが商品Aについて検索したところ、偽サイトが検索表示されます。偽サイトをクリックしたところ、最終的に商品 Aを販売するサイトにリダイレクトされたのです。この商品販売サイトを便宜上「詐欺サイト」と呼ぶことにします。

%e5%9b%b3%e7%89%882

ページランクが高いサイト(ドメイン)を改ざんし、そのサイトにSEO効果の高いコンテンツを配置することにより、Googleに優良ページと誤認させる手法が用いられていたのです。

我々が追いかけていたサイト改ざんの攻撃者の目的は、最終的に詐欺サイトへ誘導することだったのです。

今回、偽サイトから我々のサイトへのアクセスを9月末から11月まで計測しました。確実なものだけでも、毎週20~30サイトのペースで増加しています。

%e5%9b%b3%e7%89%883

新規偽サイトの作成数

%e5%9b%b3%e7%89%884

偽サイトからリクルートグループサイトへのトータルアクセス数

11月の時点で観測ポイントへのアクセスは終了しましたが、インターネットを探索するとまだまだ改ざんされたサイトは後を絶ちません。最近ではWordpress以外のCMSも同様の改ざんが発生していることが確認されており、原因の特定も含めて今後の課題となっています。

こういったコンテンツ不正利用行為はブランドイメージの低下を招くこともあるので、Recruit-CSIRTではコンテンツを守るべく奮闘し続けます。