マシンの内部:仮想通貨詐欺師の手口
Bing と DuckDuckGo を乗っ取る
SEMrushのリアルタイムデータを用いた調査レポート。BingとDuckDuckGoの検索結果の上位に仮想通貨フィッシングサイトを押し上げる、2つの並行したSEO攻撃作戦を暴く。ドメイン数10。攻撃ベクトル2つ。月間10万人以上の潜在的な被害者。

本レポートのすべてのデータは、サイバーセキュリティ研究を目的として、SEMrush APIおよびphishdestroy.ioを通じて収集されました。ドメイン名は、ユーザーに警告するため公開されており、宣伝を目的としたものではありません。
2つの攻撃ベクトル
我々の調査により、以下の事実が明らかになった まったく異なる2つの並行処理 これらを同時に実行し、フィッシングサイトをBingやDuckDuckGoの検索結果の上位に表示させる。
ベクトルA:Yahoo!のSERPインジェクション攻撃
これは間違いなく…… 技術的に最も洗練されている 2026年に当社が記録したブラックハットSEO攻撃です。これは、Bingがリンクの権威性を評価する方法における根本的な欠陥、具体的には、信頼できるドメインからの本物の編集リンクと動的に生成された検索結果ページとを区別できないという点を悪用したものです。

その仕組み — 手順を追って
ステップ 1 — 信頼済みキャリア URL の生成。 攻撃者は、Yahoo!のモバイル検索エンドポイントにおいて、複数の国際サブドメインにまたがるURLを作成しています: no.search.yahoo.com (ノルウェー)、 fr.search.yahoo.com (フランス)、 mx.search.yahoo.com (メキシコ)、 pl.search.yahoo.com (ポーランド)、 gr.search.yahoo.com (ギリシャ)、 qc.search.yahoo.com (ケベック)、 chfr.search.yahoo.com (スイス・フランス語)、 co.search.yahoo.com (コロンビア)。これらのページには、Yahoo!から引き継がれたオーソリティスコア(23~24)が表示されています。
ステップ 2 — フィッシング用アンカーの埋め込み。 各URLには、「pele+fifa」、「Jean-Paul+Sartre」、「Radio+Stars」、「jucheck.exe」といった、完全にランダムで無害な検索クエリが含まれていますが、アンカーテキストには次のように書かれています: curvefi.co Curve Finance. クエリをランダム化することで、スパムフィルターによるパターンマッチングを回避しています。
ステップ3 — 強制クロールとインデックス登録。 攻撃者は、大量ピングサービス、フォーラムやブログへのコメント投稿、および自動クロール起動ツールなどを利用して、BingbotにこれらのURLをクロールさせるよう仕向けています。
Googleのアルゴリズム: 「これは動的な検索結果ページです。リンクの権威は継承されません。」
Bingのアルゴリズム: 「yahoo.com が、アンカーテキスト『Curve Finance DEX』で curvefi.co へリンクしています。ランキングシグナルとして承認されました。✓」
結果:「Curve Finance」の検索で、BingとDuckDuckGoにおいてフィッシングサイトがトップ3にランクインした。
SEMrushの生のデータ — curvefi.co
| AS | ソースドメイン | アンカーテキスト |
|---|---|---|
| 24 | chfr.search.yahoo.com | www.curvefi.co Curve Finance |
| 24 | co.search.yahoo.com | curvefi.co Curve Finance |
| 24 | fr.search.yahoo.com | curvefi.co Curve Finance |
| 24 | mx.search.yahoo.com | www.curvefi.co Curve Finance |
| 24 | no.search.yahoo.com | www.curvefi.co Curve Finance |
| 24 | pl.search.yahoo.com | www.curvefi.co Curve Finance |
| 23 | gr.search.yahoo.com | www.curvefi.co Curve Finance |
| 23 | qc.search.yahoo.com | curvefi.co Curve Finance |
残酷な皮肉: このサイトには ゼロ オーガニックキーワード、 ゼロ SEMrushのデータベースにはトラフィックが記録されていないにもかかわらず、Yahoo!の権威性が反映されているため、「Curve Finance」の検索でBingやDDGの検索結果に表示されている。
ベクトル B:連携型 PBN ネットワーク
ここで、この調査は本当に憂慮すべき事態へと発展する。5つの別々のフィッシングサイト―― rabbys.at、dexscreener.at、monero-wallet.at、trezorsuite.at、および keplr.me — これらすべてに共通するのは、 同一のバックリンクソースのセット. これは偶然ではない。これは 単一の組織的な犯罪活動 1つのインフラストラクチャから複数のフィッシング攻撃を展開している。

「ザ・スモーキング・ガン」 — 共有インフラ
| PBNドナードメイン | AS | rabbys | dexscr | モネロ | トレゾール |
|---|---|---|---|---|---|
lewievuittton.com | 65 | ✓ | ✓ | ✓ | ✓ |
lyricamed.us.com | 61 | ✓ | ✓ | ✓ | ✓ |
creatfx.com | 60 | ✓ | ✓ | ✓ | ✓ |
jba.com.jo | 56 | ✓ | ✓ | ✓ | ✓ |
jornaldevinhedo.com | 56 | ✓ | ✓ | ✓ | ✓ |
jasaaspalhotmix.com | 54 | ✓ | ✓ | ✓ | ✓ |
magna-eg.com | 50 | ✓ | ✓ | ✓ | ✓ |
markjohnsonbuilders | 50 | ✓ | ✓ | ✓ | ✓ |
nextplayflix.com | 49 | ✓ | ✓ | ✓ | ✓ |
PBNの最大のドナーサイト(AS 65)は、それ自体がルイ・ヴィトンのタイポスクワットです。このPBNドナーサイトは、他の詐欺サイトを支えている詐欺サイトであり、その根底には犯罪的なインフラが張り巡らされています。
フィッシングドメインのプロファイル
| ドメイン | なりすます | キーワード | トップターゲット | 巻数 |
|---|---|---|---|---|
dexscreener.at | DexScreener | 64 | 「dexscreener」 #42 | 月額60,500 |
rabbys.at | ラビー・ウォレット | 15 | 「ラビー・ウォレット」 #51 | 月額5,400 |
trezorsuite.at | Trezor Suite | 7 | 「トレゾール・スイート」第32番 | 月額4,400 |
aster-dex.at | Aster DEX | 13 | 「aster取引所」 #25 | 月額3,600 |
monero-wallet.at | モネロウォレット | 4 | 「xmr オンラインウォレット」 #26 | 月額210 |
keplr.me | Keplrウォレット | 0 | コメントスパムのステルス化 | 該当なし |
bscscan.cfd | BSCScan | 0 | 大量のスパムリンク | 該当なし |
curvefinance.co | Curve Finance | 0 | Yahoo!へのインジェクションのみ | 該当なし |
curvefi.co | Curve Finance | 0 | Yahoo!へのインジェクションのみ | 該当なし |
app-crv.net | Curveアプリ | 0 | 混合技法 | 該当なし |
検索中のユーザー 「Trezor Suiteのダウンロード」 ウォレットソフトウェアのインストールを積極的に検討している。DuckDuckGoの検索結果で3~5位に表示されるフィッシングサイトにより、ユーザーはダウンロードしてしまうことになる マルウェア ハードウェアウォレットのインターフェースだと思い込んでしまう。これは単なる仮説ではなく、まさに今、実際に起きていることだ。
AIを活用した記事量産サイト
aster-dex.at の亜種は、 ハイブリッド型アプローチ、ベトナム、イタリア、インドネシア、スイス各地の乗っ取られたサイトやこの目的のために作成されたサイトに、YahooのインジェクションとAI生成のブログコンテンツを組み合わせて掲載する手法である。

このブログの記事は、どれもほぼ同じタイトルになっています: 「なぜトークンスワップや流動性プールは、経験豊富なDEXトレーダーでさえもつまずかせるのか」, 「なぜ自動マーケットメイカーは依然としてトレーダーを驚かせるのか」. これらは AIが生成した記事 AS 21~36のサイトに掲載されており、いずれもaster-dex.atにリンクしています。
コメントスパムの侵入
keplr.me はまったく異なるアプローチをとっています。それは、無関係な高権威サイトへの純粋なコメントスパムです。「ZackaryThymn」、「Fritzkah」、「Jamesboach」といった偽のユーザー名が、哲学教育サイトに暗号資産ウォレットへのアンカーリンクを埋め込んでいます(filozofija.edu.rs, AS 45)、従業員エンゲージメント・プラットフォーム(bavave.com, AS 63)、および芸術祭(lea-festival.com, AS 50)。

どん底:自動化されたツールによるスパム
bscscan.cfd ありとあらゆる中で最も粗雑な手法を用いている。その手法とは、文字通り「」という名前のサイトから提供される有料の一括バックリンクパッケージである。 rankongoogle.agency そして linksjump.click. すべてのリンク元で AS = 0 となっています。.cfd という TLD は、スパムの指標として知られています。しかし、Bing では、これさえも部分的には有効です。つまり、ネガティブな履歴のない真新しいドメインであっても、質の低いリンクの数がランキングに影響を与える可能性があるのです。

BingとDuckDuckGoが特に脆弱である理由

| 特集 | Bing | |
|---|---|---|
| 動的ページの検出 | 検索結果ページからのリンク価値はない | Yahoo!の検索ページは編集コンテンツとして扱われる |
| スパム機械学習の成熟度 | 15年以上分のSpamBrainトレーニングデータ | 成熟度が低い;PBN AS 50~65は依然として有効 |
| ブランド保護 | 攻撃的;curvefinance.co はすぐに警告対象となった | .at/.co ドメインの詐欺はより長く続いている |
| AIコンテンツファーム | 2023年以降に導入された検知機能 | .vnや.itドメインのAIファームは、依然として合格点に達している |
| フィッシング対策 | 「セーフブラウジング」は、既知のドメインを素早くブロックします | SmartScreenは、新たに登録された詐欺ドメインを見逃してしまう |
DDGは、Bingのインデックスを主要なデータソースとして利用しており、その特性を引き継いでいます。 すべて Bingの脆弱性について。DDGを好むプライバシー重視のユーザーは、多くの場合、暗号技術に精通しており、そのためより価値の高い標的となっている。DDGには独自のスパム報告機能がなく、報告はBingに送られる。
キーワードターゲティング戦略
キーワードプロファイルからは、次のようなことが明らかになっている 外科的な精度 ターゲット選定において。事業者は、主要なブランド用語だけでなく、タイポスクワット(「ラビ・ウォレット」, 「ラビー・ウォレット」, 「dexscrenner」) や、中国語の検索クエリ(「aster取引所」 (25位)。

| ターゲットキーワード | 月間取引高 | 詐欺ドメイン | 役職 |
|---|---|---|---|
| dexscreener | 60,500 | dexscreener.at | #42 |
| ラビー・ウォレット | 5,400 | rabbys.at | #51–71 |
| トレゾール・スイート | 4,400 | trezorsuite.at | #32–85 |
| アスター・デックス | 3,600 | aster-dex.at | #63 |
| dexscrenner誤字 | 2,400 | dexscreener.at | #45 |
| aster取引所中国語 | 1,000 | aster-dex.at | #25 |
| Trezor Suiteのダウンロード | 260 | trezorsuite.at | #54 |
| ラビ・ウォレット誤字 | 210 | rabbys.at | #54 |
| XMRのオンラインウォレット | 210 | monero-wallet.at | #55–69 |
歴史的背景:Trust Wallet/DuckDuckGoの問題
こうした攻撃は決して新しいものではない。問題は 著しく深刻 Trust WalletのようなウォレットがDuckDuckGoを デフォルトのアプリ内検索エンジン. ウォレット内からDeFiプロトコルを検索したユーザーには、フィッシングサイトが検索結果の1位として表示されました――複雑なSEO対策は一切必要ありませんでした。プライバシー重視でスパム検出機能が弱い検索エンジンと、ブラウザが組み込まれた暗号資産ウォレットの組み合わせが、 パーフェクト・ストーム フィッシング対策として。
Trust Walletがデフォルトの検索エンジンとしてDDGの使用をやめた後も、根本的な脆弱性は依然として残っています。どのユーザーも プライバシー保護のため、手動でDuckDuckGoを選択する — 仮想通貨ユーザーと大きく重なる層 — は、今日でもまさにこうした攻撃の標的となり続けている。本報告書で取り上げられた詐欺グループは、この手口のバリエーションを 数年間、検索エンジンが個々のベクトルを徐々に修正していくにつれて、それに適応していく。
身を守る方法
REAL Curve Finance → curve.fi (.co、.netを除く) • DexScreener → dexscreener.com (NOT .at) • Rabby → rabby.io (.at、.meを除く) • Trezor Suite → suite.trezor.io (trezorsuite.at ではありません) • Keplr → keplr.app (NOT .me) • BSCScan → bscscan.com (.cfd ではありません)
- 絶対に 検索結果からウォレットを連携する
- ブックマーク 正規のサイトに直接アクセスする
- DDGの
!bangショートカット:!g curve financeGoogle検索を強制する - MetaMaskのフィッシング検知拡張機能をインストールする
- 以下のサイトで、任意のドメインを確認できます。 PhishDestroy 接続する前に
マイクロソフト/Bingへの提言
- 動的ページの検出: 検索結果ページ(Yahoo、Baidu、Google)を分類し、外部リンクからリンクエクイティを除去する
- PBNの協調的検出: 9つのドメインが、同一のパターンを持つ5つの異なるサイトへリンクしている場合は、操作行為としてフラグを立てる
- ブランドなりすまし対策層: TLD置換攻撃を検知する(
dexscreener.at≈dexscreener.com) - .ATドメインの監視: 暗号資産関連の検索結果ページ(SERP)において、新規登録された.atドメインに対する審査が強化される
- DuckDuckGoのクイックガイド: DDGが直接アクセスできる、スパム除去専用のAPIを作成する
結論
これは、その場しのぎのスパムではありません。これは、 専門的に組織化された、マルチブランド・マルチベクター型のSEO運用 GoogleとBingのスパム検出機能の差を悪用するよう特別に設計されています。今日、DuckDuckGoで「Trezor Suite ダウンロード」と検索するユーザーは、本物のサイトが表示される前に、資産を奪うフィッシングサイトに誘導される可能性があります。 技術的な解決策は存在します。問題は、Bingがそれを実装するかどうかです。


1つのオペレーター、26のドメイン、1つのレジストラ
26件のフィッシングドメインすべてに対してRDAPクエリを実行しました。そのすべてが、同じレジストラを返しました: NiceNIC International Group Co., Limited。「ほとんど」ではない。「大多数」でもない。 23件中23件すべてが正常に照会されました — 同じレジストラで、認証前に3件のレート制限エラーが発生した(両者のインフラストラクチャのパターンが一致している)。

RDAP登録データ — 一括登録の証明
| ドメイン | なりすます | 作成日 | CloudflareのNSペア |
|---|---|---|---|
star-gate-finance-stargate.finance | スターゲート・ファイナンス | 2025-09-08 | テリー/キシメナ |
app-vesper.finance | ヴェスパー・ファイナンス | 2025-09-08 | テリー/キシメナ |
app-vvs.finance | VVSファイナンス | 2025-09-08 | テリー/キシメナ |
orbit-protocol-lending.net | Orbit Protocol | 2025-10-10 | テリー/キシメナ |
vvsfnance.com | VVSファイナンス | 2025-07-12 | エイプリル/ケイデン |
spooky-swap.net | SpookySwap | 2025-04-15 | エイプリル/ケイデン |
thorwsap.com | THORSwap | 2025-07-24 | エイプリル/ケイデン |
hyperlokc.com | ハイパーロック・ファイナンス | 2025-07-12 | アーノルド/デスティニー |
shadow-ex.net | シャドウ・エクスチェンジ | 2025-06-24 | アモス/トリシア |
v2velodrome.com | ベロドローム・ファイナンス | 2025-09-04 | ダヤナ/マーヴィン |
layerbank-v3.com | LayerBank | 2024-09-07 | オースティン/シェリル |
biasterswap.xyz | BiSwap | 2024-09-07 | レディ/ラングストン |
v2-olympusdao.com | OlympusDAO | 2026-03-29 | nash/romina |
uncx.org | UNCXネットワーク | 2025-12-24 | コーリー/メーガン |
amblent.cc | アンビエント・ファイナンス | 2026-02-09 | ニコール/サルバドール |
juicefi.cc | ジュース・ファイナンス | 2026-02-09 | ニコール/サルバドール |
rhea-finance.com | レア・ファイナンス | 2025-05-30 | — |
rhea-finance.net | レア・ファイナンス | 2025-05-30 | — |
rhea-rhea.org | レア・ファイナンス | 2025-05-30 | — |
silo-finance-silofinance.net | サイロ・ファイナンス | 2025-05-30 | — |
CloudflareのNSペアが共有されており、作成日も同一であることから、一括登録であることが証明されます:
- 2025-09-08: star-gate + app-vesper + app-vvs (すべて
terry/ximena) - 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance(ドメイン4つ、セッション1回)
- 2026-02-09: amblent.cc + juicefi.cc (
nicole/salvador) - 2024-09-07: layerbank-v3.com + biasterswap.xyz — 18ヶ月以上継続している運用
「2ドルのプレイブック」――ステップバイステップ
複雑なSEOなんて忘れてください。何ヶ月もかけてリンクを構築する作業も忘れてください。ここでは、Bingの検索結果で1位を獲得するための、完全かつ実証済みの攻略手順をご紹介します。

ステップ 1:タイポスクワット・レジストリ
| 実際のプロジェクト | リアル・ドメイン | フィッシングドメイン | テクニック |
|---|---|---|---|
| VVSファイナンス | vvs.finance | vvsfnance.com | 抜け文字 (i) |
| THORSwap | thorswap.com | thorwsap.com | 文字の入れ替え(a/w) |
| ハイパーロック | hyperlock.fi | hyperlokc.com | 文字の入れ替え(c/k) |
| Arbitrumブリッジ | bridge.arbitrum.io | arbtrumbridge.cc | スワップ + 安価なTLD |
| アンビエント・ファイナンス | ambient.finance | amblent.cc | 発音に基づく誤記 |
| スラスター・ファイナンス | thruster.finance | thnuster.cc | 文字の省略(r→n) |
| オプティミズム・ブリッジ | app.optimism.io | optrnismbirdge.cc | 複数の誤字 |
| スターゲート・ファイナンス | stargate.finance | star-gate-finance-stargate.finance | キーワードの詰め込み |
ステップ 2:タイトルタグを複製する($0、5 分)
オペレーターは、その内容をそのままコピーします <title> 実際のプロジェクトのウェブサイトからのタグとメタディスクリプション。 これが、何よりも重要なステップです。 このページ自体は、ウォレットから資金を吸い取るもの、あるいはシードフレーズを盗み出すものですが――しかし <title> Bingが順位付けするものです。
ステップ3:クローキングされたPBNへの投稿(0ドル、1分)
オペレーターは、15カ所のPBN拠点のうちいずれかを訪問します(bye.fyi, atomizelink.icu、など)を選択し、「URLを入力」と表示されたフォームにドメイン名を入力して、「短縮」をクリックします。送信すると、15のサイトすべてに同時にページが作成されます。これらは1つのデータベースを共有しているからです。
ステップ4:待機(2~8週間、0ドル)
app.thnuster.cc 「Thruster Finance」でBingの検索結果1位を獲得しました。 バックリンクがちょうど1つ — Yahooの検索結果ページ(SERP)のキャッシュ。PBNなど必要なかったのだ。
総費用の内訳
| 何 | 費用 | 時間 |
|---|---|---|
| ドメイン(.cc/.com:NiceNIC経由) | $1-2 | 2分 |
| Cloudflare DNS(無料プラン) | $0 | 1分 |
| 実際のサイトからタイトルタグを複製する | $0 | 5分 |
| PBN(bye.fyi など)に投稿する | $0 | 1分 |
| インデックス登録が完了するまでお待ちください | $0 | 2~8週間 |
| 合計 | $1-2 | 約10分 |
クローキング・エンジンの内部
PBNネットワークから実際のHTMLソースコードを取得し、分析しました。すべてのドメイン上のすべてのページで、同じクローキングエンジンが稼働しています。

z-index: 1000000 壁には3,500個のリンクが隠されているページの構成:400KBのHTML、3,500以上のリンク、4層
<body style="overflow: hidden;">
<div style="position:absolute; top:0; left:0;
width:100%; height:5000px;
background:white; z-index:1000000;
font-size:32px; text-align:center;">
<p>The domain report has Expired!</p>
</div> 白いdivがビューポート全体を覆っています。z-index:1000000を設定することで、その上に何も表示されないようにしています。 overflow:hidden 画面上に表示されているため、スクロールして先へ進むことができません。ユーザーは「有効期限切れ」という表示を見て、サイトを離れてしまいます。
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator"); ユーザーが白い壁を迂回した場合、JavaScriptによってscrib.liへリダイレクトされます(アフィリエイトによる収益化)。 3重の保護 人間の訪問者に対して。
BingbotはCSSのオーバーレイを無視し、生のHTMLを解析します。検索フォームのある「URL短縮サービス」サイトを検知します。正規のサイトのように見えます。
<p>Learn More Here <a rel="nofollow"
href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ... このフィッシングドメインは、3,500個のランダムなドメインの中に紛れ込んでいる。 Bingのおやつ rel="nofollow" インデックス化のシグナルとして — それでも、ターゲットをクロールします。
証明:1つのネットワーク、1つのデータベース
orbit-protocol-lending.net 複数のPBNドメインにまたがって表示され、 同じデータベースからの連番ID:

| PBNドメイン | URLパターン | ID |
|---|---|---|
blogsphere.top | /stats/49207 | 49207 |
optimizeflow.top | /stats/49207 | 49207 |
websites.freemyip.com | /share/49207 | 49207 |
shortenurls.eu | /share/49207 | 49207 |
jake.eu | /share/49207 | 49207 |
dailymusings.top | /stats/49208 | 49208 |
screenshots.wiki | /report/49208 | 49208 |
atomizelink.icu | /report/49208 | 49208 |
byteshort.xyz | /report/49208 | 49208 |
異なる「ブランド」間でIDが共通 = バックエンドは1つ、運営主体も1つ。 15のドメイン。同じHTMLテンプレート。同じCSS(style.css). 同じJavaScript(work.js). 同じ3,500リンクのページです。
第2のPBN — ドメインチェッカー・ネットワーク
別の、より積極的なリンクネットワークが、選定されたターゲットに対してdofollowバックリンクを提供します。マスターサーバー: all-aged-domains.com — 50~80のサテライトドメインにCSS、JS、テンプレートを配信しているWordPress 6.6.2のインストール環境。
| 特集 | ネットワークA(隠蔽型PBN) | ネットワーク B(ドメインチェッカー) |
|---|---|---|
| サイト | ~15 | ~50-80 |
| クローキング | はい(CSS + JSによるリダイレクト) | いいえ |
| リンクの種類 | 99.4%がnofollow | 99.99%がdofollow |
| 1ページあたりのリンク数 | ~3,500 | ~10,000 |
| ページサイズ | 400KB | 4MB |
| CMS | カスタムPHP | WordPress 6.6.2 |
| マスターサーバー | 共有データベース(連番ID) | all-aged-domains.com |
| Google タグ マネージャー | いいえ | はい(トラフィックを追跡します) |
バックリンクの数が10倍もあり、そのすべてがdofollowであるにもかかわらず、ネットワークBは Bingの1位にはなりませんでした. biasterswap.xyz には 110 の dofollow リンクがあります。layerbank-v3.com には 98 あります。どちらも 1 位にはなっていません。
一方、 app.thnuster.cc は 被リンク 1件 そして、1位にランクインしています。
Bingにおいては、nofollowでクローキングされたPBNとタイトルの一致を組み合わせた手法が、大量のdofollowスパムよりも効果的です。
なぜBingはこれに引っかかるのか

「タイトルマッチ」の脆弱性
app.thnuster.cc バックリンクはちょうど1つだけ――Yahoo!の検索結果ページのキャッシュです。このサイトは、Bingで「Thruster Finance」という検索語句において1位にランクインしています。これは、競合の少ないブランド名クエリに対するBingのランキングが、主に以下の要素に依存していることを示しています:
- タイトルタグの完全一致 検索クエリに対して
- ドメインがインデックスに登録されています (どんなシグナルでも――たとえnofollowリンクが1つだけでも――それで十分です)
- 否定的な信頼の兆候がない (ドメインは新規で、履歴はクリーンです)
Googleは、確固たる権威性のシグナルを必要とし、既知のブランドドメインと照合を行います。一方、Bingはそうではありません。
| メートル法 | Bing | |
|---|---|---|
| フィッシングドメインが1位に | 7 | 0 |
| トップ10にランクインしたフィッシングドメイン | 7 | 0 |
| ドメイン作成からの経過期間による順位付け | 2~8週間 | 決して |
Bingの検索結果第1位(SerpAPIによる確認、2026年4月)
| クエリ | #1 Result (Phishing) | 被リンク |
|---|---|---|
| 「スターゲート・ファイナンス」 | star-gate-finance-stargate.finance | 20 |
| 「シャドウ・エクスチェンジ」 | shadow-ex.net | 16 |
| 「UNCXネットワーク」 | www.uncx.org | 51 |
| 「スラスター・ファイナンス」 | app.thnuster.cc | 1 |
| 「Orbit Protocol」 | orbit-protocol-lending.net | 15 |
| 「VVSファイナンス」 | vvsfnance.com (#1) + www.app-vvs.finance (#10) | 36 + 37 |
更新された保護リスト(第2部:ブランド)
スターゲート・ファイナンス → stargate.finance (star-gate-finance-stargate.finance ではありません) • VVS Finance → vvs.finance (vvsfnance.com ではありません) • THORSwap → thorswap.com (thorwsap.com ではありません) • ヴェロドローム → velodrome.finance (v2velodrome.com ではありません) • UNCX → uncx.network (uncx.orgではありません) • SpookySwap → spooky.fi (spooky-swap.net ではありません) • OlympusDAO → olympusdao.finance (v2-olympusdao.com ではありません) • スラスター → thruster.finance (thnuster.cc ではありません) • アンビエント → ambient.finance (amblent.cc ではありません)
提言(第2部)
マイクロソフト/Bing 様:
- タイトルマッチだけでは権威とはならない。 ブランド関連の検索クエリにおいて、タイトルが一致しているという理由だけで、新しいドメインを1位にランク付けすべきではありません。ドメインの運営期間、被リンクの権威性、またはブランド認証のシグナルを要件として設定してください。
- CSS を利用したクローキングを検出する。 z-index オーバーレイを使用して、ユーザーにはコンテンツを非表示にしつつ、クローラーには表示しているページは、フラグを立てる必要があります。
- 組織的なPBNネットワークを検知する。 15のドメインが1つのバックエンドを共有し、同じリンク先へリンクしている状況は、自然なリンク構築とは言えません。
- 暗号資産の検索結果ページ(SERP)で、NiceNICに登録されたドメインにフラグを立てる より厳格な審査を行うため。
- DuckDuckGoのスパム優先処理ルートを作成する。 DDGはBingの脆弱性をすべて引き継いでいるが、独自のスパム報告機能は備えていない。
NiceNIC International Group Co., Limited 様:
26件のフィッシングドメイン。顧客は1社。18か月以上にわたって一括登録された。不正利用に対する措置は一切講じられていない。 これは現在、公式に文書化されています。参照: 虐待の通報が放置される場合 そして NiceNIC:システム全体の基盤.
Cloudflare 様:
26のドメインすべてがCloudflareのDNSおよびプロキシを利用しています。これらのドメインは、Cloudflareのインフラストラクチャを介して、ウォレットの資金を搾取するプログラムやシードフレーズを収集するプログラムを配信しています。
第2部 結論
これは、その場しのぎのスパムではありません。これは、 単一の事業者が専門的に運営した、18か月間にわたるキャンペーン Bingのランキングアルゴリズムは、2ドルのドメインとコピーしたタイトルタグを使えば、その仕組みをすり抜けられることを発見した人物。 現在、7つのフィッシングサイトがBingの検索結果で1位にランクインしている — 彼らがなりすましている正規のプラットフォームよりも上位に。
私たちが調査したクローキングのインフラ――データベースを共有する15の同一サイト、CSSによるコンテンツの非表示、およびJavaScriptによるリダイレクトのフォールバック――は、大規模な検索エンジン操作を目的として特別に構築されたツールである。
Googleは26のドメインすべてをブロックしている。Bingはうち7つを1位にランク付けしている。技術的な解決策は存在する。証拠は公開されている。ドメインは記録されている。レジストラも特定されている。 依然として疑問が残る。何か対策が講じられるのだろうか?


