IIS Server を介した SEO ポイズニング:BadIIS という巧妙なモジュールを検出

Hackers Hijacking IIS Servers Using Malicious BadIIS Module to Serve Malicious Content

2025/09/23 CyberSecurityNews — Operation Rewrite と呼ばれる高度なサイバー攻撃が、Microsoft の Internet Information Services (IIS) の Web サーバを乗っ取り、SEO ポイズニングと呼ばれる手法を用いて悪意のあるコンテンツを提供するという攻撃を活発化させている。2025年3月の時点で、この状況を検知した Palo Alto Networks は、BadIIS と呼ばれる悪意の IIS モジュールを使用する、中国語圏の脅威アクターによる攻撃であると、高い確度で結論付けている。

この攻撃の主な目的は、検索エンジンの検索結果を操作し、無防備なユーザーをギャンブルやポルノなどの望ましくない Web サイトへとリダイレクトして、金銭を得ることである。この攻撃者は、合法で評判の高い Web サイトを侵害し、その活動の誘導経路として悪用している。

BadIIS マルウェアと SEO ポイズニング

この攻撃の中核は、Microsoft の IIS Web サーバ・ソフトウェアにおける、悪意のネイティブ・モジュール BadIIS にある。2021 年に初めて確認された、これらのモジュールは、Web サーバのコア・プロセスに直接統合され、高度な権限を付与するものだ。

この高度な統合によりマルウェアは、すべての送受信 Web トラフィックを傍受/検査/変更できる。そして、この制御を悪用する攻撃者は、悪意のコードを挿入し、ユーザーをリダイレクトし、検出を回避しながら機密情報を容易に盗み出す。

攻撃者は BadIIS を介して SEO ポイズニングを実行する。つまり、検索エンジンで上位に表示されにくい新たな悪意の Web サイトを構築するのではなく、すでに高い評価を得ている既存のサイトを侵害する。続いて、侵害したサイトのコンテンツに、人気のある検索キーワードを挿入することで、Google や Bing などの検索エンジンを欺き、関連性のない各種のクエリでサイトを上位に表示させる。

この Operation Rewrite キャンペーンは、まず検索エンジンを欺き、次に人間の被害者を罠にかけることを目的とする、2つの異なるフェーズで展開される。

Lure Phase:検索エンジンのクローラー (Googlebot など) が、侵害されたサーバにアクセスした時点で攻撃が開始される。BadIIS モジュールは User-Agent ヘッダーを検査することでクローラーを検出する。その後に、C2 サーバと通信し、キーワードを多く含んだ改竄されたコンテンツを取得する。このコンテンツは、クローラーだけに配信されるため、検索エンジンは正規の Web サイトを、人気があるが関連性の低い用語でインデックス登録してしまう。

分析の結果として判明したのは、東アジアと東南アジアに特に重点が置かれており、ベトナム語の検索エンジンのキーワードや、違法なサッカー・ストリーミング・サービスに関連する用語が使用されていることだった。

Attack Chain

Trap Phase:検索結果が改竄されると、トラップが仕掛けられる。ユーザーが悪意の検索結果をクリックすると、BadIIS モジュールは Referer ヘッダーをチェックすることで、ユーザーを人間の被害者として識別する。そして、期待される Web ページを表示する代わりに、C2 サーバに再接続して詐欺 Web サイトへのリダイレクト・リンクを取得する。侵害されたサーバはリバース・プロキシとして機能し、攻撃者が制御するディスティネーションへとユーザーをシームレスに誘導する。

Palo Alto Networks は、この活動クラスターを、CL-UNK-1037 として追跡されている中国語圏の脅威グループに関連付けた。Operation Rewrite という名称は、このマルウェアのコード内のオブジェクト名として発見された、”rewrite” を意味する “重写 (chongxie)” に由来する。

Rewrite Operation
Rewrite Operation

さらなる調査により、簡体字で書かれたコード・コメントなどの、追加の言語的証拠が明らかになった。

このグループのツールキットは、ネイティブの BadIIS モジュールに限定されない。今回の調査により複数の亜種が発見され、攻撃者の適応能力が示された。発見されたものには、軽量の ASP.NET ページ・ハンドラー/マネージド .NET IIS モジュール/オールインワンの PHP スクリプトなどがあり、いずれも異なる技術的手段を用いて、同じ SEO ポイズニングの目的を達成するように設計されている。

インフラとコードの設計において、Group 9 として知られる公開追跡中の脅威クラスターとの多くの重複があり、DragonRank キャンペーンとの戦術的な類似性があるため、この脅威アクターは広範なエコシステム内で広がりを持つと、研究者たちは示唆している。

この問題の根本は、IIS に深く組み込まれる “ネイティブ・モジュール” が持つ強い権限と、クローキング(クローラー向けとユーザー向けの差し替え)を可能にする設計にあるようです。信頼されているサイトを改竄して検索順位が操作されるため、整合性チェックやモジュール検証が不十分だと被害が大きくなりますし、User-Agent/Referer による条件分岐を監視できないと異常検出が難しくなると、この記事は指摘しています。よろしければ、IIS で検索も、ご参照ください。