Web担当者必見。知らぬうちにSEO攻撃に組み込まれる可能性:アカマイがWeb脅威に関する報告書を公開
アカマイ・テクノロジーズは、Webセキュリティの脅威に関する報告書を発表した。SQLインジェクションを使用して、検索エンジンのランク付けに影響を与える攻撃を確認したという。
アカマイ・テクノロジーズは2016年1月14日、同社のThreat Research(脅威研究)部門によるWebセキュリティの脅威に関する報告書を発表した。それによると、SQLインジェクションを使用して、標的Webサイトの検索エンジン最適化(SEO)に影響を与える新たな攻撃を確認したという。攻撃を受けたWebサイトは、隠されたHTMLリンクを配信し、検索エンジンボットを混乱させてページのランキングに誤った影響を与えるとしている。
同社は、2015年第3四半期に2週間にわたって、Akamai Intelligent Platformから集めたデータを分析し、3800以上のWebサイトに対する攻撃などに参加した348のユニークIPアドレスを観測した。その結果、大規模改ざんの証拠や、検索エンジンの検索結果の操作を発見したという。
検索エンジンは、特定のアルゴリズムを使用してページのランキングとWeb上のサイトに対するインデックス付けを決定する。そして、そのWebアプリケーションを指し示すリンクの数と評価が、これらのランキングに影響を与える。
今回観測された攻撃では、SEO攻撃者が「Cheating(不正)とInfidelity(背信行為)のストーリー」というWebサイトに向けた外部リンクのチェーンを生成、通常のWebコンテンツを装って検索エンジンのアルゴリズムに影響を与えたとしている。
SEO攻撃への対策方法は?
アカマイ・テクノロジーズでは、この攻撃に対する防御方法として次の対策を紹介している。
Webアプリケーション開発者が採るべき対策
- バックエンドデータベースへのクエリの中で使用する全てのユーザー入力データに対して、適切な入力検証チェックが実装済みであることを確認すること
- ユーザーの入力データに基づいてSQLクエリを作成する場合は、パラメータのみ入力可能なステートメントを事前に用意しておき、それだけを使用すること
Webアプリケーションの防御担当者が採るべき対策
- SQLインジェクション攻撃をブロックするモードに設定したWebアプリケーションファイアウォールを配備すること
- リンク数の増加などの大きな変化の識別に役立てるため、HTMLレスポンス本文フォーマットのプロファイリングと監視を検討すること
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
無償かつ高機能な「ModSecurity」をもっと活用しよう!
前編に続き、講演内容を中心に、Webアプリケーションのセキュリティに関する国際的なカンファレンス「OWASP AppSec USA 2013」の模様をお伝えします。
深刻な「ブラインドSQLインジェクション」の脅威
2013年11月18日から11月21日の4日間にわたり、Webアプリケーションのセキュリティに関する国際的なカンファレンス「OWASP AppSec USA 2013」がニューヨークで開催されました。その模様をお伝えします。
今夜こそわかる安全なSQLの呼び出し方 〜 高木浩光氏に聞いてみた
今夜分かるSQLインジェクション対策
404 Found――Webをセキュアに、ネットをセキュアに
Webサーバーを構成するソフトウェアやWebアプリケーションは頻繁に外部からの攻撃にさらされ、新たな脆弱性も発見されている。3月に開催された「OWASP AppSec APAC 2014」では、Webをセキュアなものにしていくために何が必要で、どんなポイントに注意すべきかといった知見が共有された。