2017年12月下旬、ショッピングサイトを装った詐欺サイトに関わったとみられる43人が一斉に摘発された。詐欺サイトの特徴は、特定の商品名で検索すると、検索サイトの上位に表示されること。検索サイトの表示順は信頼度を表すものではない。うのみにするのは危険だ。

詐欺サイトが2万件

 人気の商品を販売すると偽って代金をだまし取る詐欺サイトが相次いで出現している。警察庁と日本サイバー犯罪対策センター(JC3)は12月21日、ショッピングサイトに見せかけた詐欺サイトを1万9834件発見したと発表。併せて、詐欺サイトの振込先となっていた銀行口座を売買した43人を摘発したことを明らかにした。

 今回発表された詐欺サイトの特徴は次の2点。(1)改ざんした一般のWebサイトを経由して詐欺サイトへユーザーを誘導することと、(2)改ざんサイトが検索サイトの上位に表示されるようにしていたことである。ユーザーをだますには、特に後者が有効だったと考えられる。装飾品や家具などの特定の商品名で検索すると、詐欺サイトに転送する改ざんサイトが、検索結果の上位に表示されるようにしていたという。

 特定のサイトが検索結果の上位に表示されるように工夫することはSEO(Search Engine Optimization:検索エンジン最適化)と呼ばれる。インターネットでビジネスを展開している企業にとって、検索サイトでの表示順は死活問題だ。このため各企業ともSEOに腐心するが、表示順を決めるアルゴリズムは非公表で、なおかつ頻繁に変更しているようなので容易ではない。SEOをビジネスにする専門会社も多数存在する。

検索結果に毒を入れる

 SEOを駆使するのは企業だけではない。10年以上前から攻撃者も悪用している。例えば2006年、企業などがキャンペーン目的で告知したキーワード(商品名やプレゼント名、キャンペーン名など)で検索すると、詐欺サイトやウイルス配布サイトが上位に表示される事例が国内で相次いで確認され、セキュリティ組織のJPCERTコーディネーションセンター(JPCERT/CC)が注意を呼びかけた。

 SEOを悪用して、検索結果の上位に悪質なWebサイトが表示されるようにすることは「SEOポイズニング」と呼ばれ、たびたび話題になっている。例えば、アダルトコンテンツやセキュリティソフトの製品名、スーパーボウルなどの大きなイベント名を狙ったSEOポイズニングが、2010年ごろまではいくつか報告されている。

 だが、検索サイトが対策しているためか、SEOが難しくなり、SEOポイズニングの報告例も見かけなくなった。ところが今回報告された詐欺サイトは、SEOポイズニングにより、多数のユーザーをだました。もちろん、SEOの具体的な手口は不明である。