Web担当者必見。知らぬうちにSEO攻撃に組み込まれる可能性：アカマイがWeb脅威に関する報告書を公開

アカマイ・テクノロジーズは、Webセキュリティの脅威に関する報告書を発表した。SQLインジェクションを使用して、検索エンジンのランク付けに影響を与える攻撃を確認したという。

[＠IT]

　アカマイ・テクノロジーズは2016年1月14日、同社のThreat Research（脅威研究）部門によるWebセキュリティの脅威に関する報告書を発表した。それによると、SQLインジェクションを使用して、標的Webサイトの検索エンジン最適化（SEO）に影響を与える新たな攻撃を確認したという。攻撃を受けたWebサイトは、隠されたHTMLリンクを配信し、検索エンジンボットを混乱させてページのランキングに誤った影響を与えるとしている。

　同社は、2015年第3四半期に2週間にわたって、Akamai Intelligent Platformから集めたデータを分析し、3800以上のWebサイトに対する攻撃などに参加した348のユニークIPアドレスを観測した。その結果、大規模改ざんの証拠や、検索エンジンの検索結果の操作を発見したという。

SQLインジェクションを使った攻撃の推移（出典：アカマイ・テクノロジーズ）

　検索エンジンは、特定のアルゴリズムを使用してページのランキングとWeb上のサイトに対するインデックス付けを決定する。そして、そのWebアプリケーションを指し示すリンクの数と評価が、これらのランキングに影響を与える。

　今回観測された攻撃では、SEO攻撃者が「Cheating（不正）とInfidelity（背信行為）のストーリー」というWebサイトに向けた外部リンクのチェーンを生成、通常のWebコンテンツを装って検索エンジンのアルゴリズムに影響を与えたとしている。

SEO攻撃の概要（出典：アカマイ・テクノロジーズ）

SEO攻撃への対策方法は？

　アカマイ・テクノロジーズでは、この攻撃に対する防御方法として次の対策を紹介している。

Webアプリケーション開発者が採るべき対策

• バックエンドデータベースへのクエリの中で使用する全てのユーザー入力データに対して、適切な入力検証チェックが実装済みであることを確認すること
• ユーザーの入力データに基づいてSQLクエリを作成する場合は、パラメータのみ入力可能なステートメントを事前に用意しておき、それだけを使用すること

Webアプリケーションの防御担当者が採るべき対策

• SQLインジェクション攻撃をブロックするモードに設定したWebアプリケーションファイアウォールを配備すること
• リンク数の増加などの大きな変化の識別に役立てるため、HTMLレスポンス本文フォーマットのプロファイリングと監視を検討すること