Google検索トップに「マルウェア入りの偽サイト」が表示、URLでも判別不可能な巧妙手口
先日までGoogl検索のトップに、見分けることが非常に難しい「偽サイト」が表示されていました。偽サイトがトップに表示された理由と、ユーザーを騙す巧妙な手口について海外メディア「bleepingcomputer」が解説しています。
関連:【悪用厳禁】クレジットカードの複製、実はこんなに簡単なんです
*Category:
URLでも見抜けない「GIMP」偽サイトの巧妙な手口とは?
Google検索のトップに表示されていたのはグラフィック・エディターで有名な「GIMP」の偽サイトです。
Google検索のトップに表示されるサイトはGoogleのアルゴリズムによって決められます。そのため、偽サイトがトップ表示されることは基本的にありえません。では、なぜ「GIMP」の偽サイトがトップ表示されたかというと、Google広告を利用して掲載されていたからです。Google広告とはGoogleにお金を払う代わりに検索トップに広告として表示させるモノです。
さらに偽サイトの手口は巧妙で、サイトドメインを公式と同じ「gimp.org」にしていたのです。そして、その偽サイトにアクセスをすると、まるで公式サイトのように表示されます。
当然、偽サイトにも「GIMP」をダウンロードするボタンがあります。公式サイトでダウンロードボタンを押すと、ダウンロードページに切り替わるのですが、偽サイトのダウンロードボタンを押すと、Dropboxのページに切り替わります。そして、表示されたDropboxに添付されている「Setup.exe」をダウンロードしてしまうと、ウイルスに感染してしまうのです。
BleepingComputerは、実際にこのウイルスに感染するとどのような被害があるのかを調べてみました。調べた結果、このウイルスは、情報を盗み出すトロイの木馬でした。そして、このウイルスに感染してしまうと「パスワード、Cookie、履歴、クレジットカード情報など、一般的なブラウザの情報すべて」「暗号通貨のウォレット」「「Windows版Telegramの認証情報」「ファイル転送アプリケーション情報(WINSCP、FTP、FileZilla)」などが盗み出されるそうです。
そもそもなぜ、偽サイトは公式サイトと同じ「gimp.org」というサイトドメインを利用することができたのでしょうか?Reddit上ではURLに含まれる「i」が、アルファベットの「i」ではなく、キリル文字の「і」なのではないかと疑われています。
このように、悪質サイトの手口年々巧妙になっており、インターネットに詳しいユーザーであっても偽物を見抜くのは至難の業です。なによりも問題なのは広告を審査しているはずのGoogleがこのような危険なサイトを通してしまっていること。Google側には、このような広告が表示されないような適切な対象が必要とされています。