PhishDestroy ライブ
ニュースに戻る
差し迫った脅威

マシンの内部:仮想通貨詐欺師の手口
Bing と DuckDuckGo を乗っ取る

SEMrushのリアルタイムデータを用いた調査レポート。BingとDuckDuckGoの検索結果の上位に仮想通貨フィッシングサイトを押し上げる、2つの並行したSEO攻撃作戦を暴く。ドメイン数10。攻撃ベクトル2つ。月間10万人以上の潜在的な被害者。

2026年3月30日 PhishDestroy リサーチ 読了時間:22分 SEMrush APIデータ
BingやDuckDuckGoの検索結果を操作する仮想通貨詐欺師たち — サイバーパンク風の可視化
検索エンジンが包囲網に:組織的な活動により、フィッシングサイトが正規の仮想通貨プラットフォームを上回る順位に押し上げられている
10フィッシングドメイン
9PBNの寄付者
60,500+毎日の接触
10万以上月ごとの被害者数
2攻撃ベクトル
免責事項

本レポートのすべてのデータは、サイバーセキュリティ研究を目的として、SEMrush APIおよびphishdestroy.ioを通じて収集されました。ドメイン名は、ユーザーに警告するため公開されており、宣伝を目的としたものではありません。

2つの攻撃ベクトル

我々の調査により、以下の事実が明らかになった まったく異なる2つの並行処理 これらを同時に実行し、フィッシングサイトをBingやDuckDuckGoの検索結果の上位に表示させる。

ベクトル A:Yahoo! SERP インジェクション
モバイル検索ページを通じて、Yahoo!のドメインオーソリティ(AS 24)を悪用する。Bingは、フィッシング用のアンカーを含む動的に生成されたYahoo!の検索URLから信頼性を引き継いでいる。 対象: curvefinance.co、curvefi.co、aster-dex.at
ベクトル B:連携型 PBN ネットワーク
AS 49~65に属する9つの乗っ取られた/購入されたドメインが、複数のフィッシングサイトに同時にリンクしています。あらゆる検索エンジンに対して機能します。 対象: rabbys.at、dexscreener.at、monero-wallet.at、trezorsuite.at、keplr.me

ベクトルA:Yahoo!のSERPインジェクション攻撃

これは間違いなく…… 技術的に最も洗練されている 2026年に当社が記録したブラックハットSEO攻撃です。これは、Bingがリンクの権威性を評価する方法における根本的な欠陥、具体的には、信頼できるドメインからの本物の編集リンクと動的に生成された検索結果ページとを区別できないという点を悪用したものです。

YahooのSERPインジェクション攻撃がBingのランキングに及ぼす影響を示す技術図
Yahoo!から引き継がれたオーソリティスコア(AS 24)が、モバイル検索ページを経由してフィッシングドメインに流れている――Bingはこのシグナルを正当なものとして受け入れている

その仕組み — 手順を追って

Yahoo!のクラフト関連URL8カ国以上のサブドメイン
アンカーを埋め込む不審な問い合わせ+フィッシングリンク
フォース・クロールPingサービスとスパム
BingのインデックスYahoo AS 24 を継承
第1位検索結果の上位に表示されるフィッシングサイト

ステップ 1 — 信頼済みキャリア URL の生成。 攻撃者は、Yahoo!のモバイル検索エンドポイントにおいて、複数の国際サブドメインにまたがるURLを作成しています: no.search.yahoo.com (ノルウェー)、 fr.search.yahoo.com (フランス)、 mx.search.yahoo.com (メキシコ)、 pl.search.yahoo.com (ポーランド)、 gr.search.yahoo.com (ギリシャ)、 qc.search.yahoo.com (ケベック)、 chfr.search.yahoo.com (スイス・フランス語)、 co.search.yahoo.com (コロンビア)。これらのページには、Yahoo!から引き継がれたオーソリティスコア(23~24)が表示されています。

ステップ 2 — フィッシング用アンカーの埋め込み。 各URLには、「pele+fifa」、「Jean-Paul+Sartre」、「Radio+Stars」、「jucheck.exe」といった、完全にランダムで無害な検索クエリが含まれていますが、アンカーテキストには次のように書かれています: curvefi.co Curve Finance. クエリをランダム化することで、スパムフィルターによるパターンマッチングを回避しています。

ステップ3 — 強制クロールとインデックス登録。 攻撃者は、大量ピングサービス、フォーラムやブログへのコメント投稿、および自動クロール起動ツールなどを利用して、BingbotにこれらのURLをクロールさせるよう仕向けています。

Bingのアルゴリズムの失敗

Googleのアルゴリズム: 「これは動的な検索結果ページです。リンクの権威は継承されません。」
Bingのアルゴリズム: 「yahoo.com が、アンカーテキスト『Curve Finance DEX』で curvefi.co へリンクしています。ランキングシグナルとして承認されました。✓」

結果:「Curve Finance」の検索で、BingとDuckDuckGoにおいてフィッシングサイトがトップ3にランクインした。

SEMrushの生のデータ — curvefi.co

SEMrush バックリンク分析 API | 2026年3月30日 | 対象:curvefi.co
ASソースドメインアンカーテキスト
24chfr.search.yahoo.comwww.curvefi.co Curve Finance
24co.search.yahoo.comcurvefi.co Curve Finance
24fr.search.yahoo.comcurvefi.co Curve Finance
24mx.search.yahoo.comwww.curvefi.co Curve Finance
24no.search.yahoo.comwww.curvefi.co Curve Finance
24pl.search.yahoo.comwww.curvefi.co Curve Finance
23gr.search.yahoo.comwww.curvefi.co Curve Finance
23qc.search.yahoo.comcurvefi.co Curve Finance

残酷な皮肉: このサイトには ゼロ オーガニックキーワード、 ゼロ SEMrushのデータベースにはトラフィックが記録されていないにもかかわらず、Yahoo!の権威性が反映されているため、「Curve Finance」の検索でBingやDDGの検索結果に表示されている。

ベクトル B:連携型 PBN ネットワーク

ここで、この調査は本当に憂慮すべき事態へと発展する。5つの別々のフィッシングサイト―― rabbys.at、dexscreener.at、monero-wallet.at、trezorsuite.at、および keplr.me — これらすべてに共通するのは、 同一のバックリンクソースのセット. これは偶然ではない。これは 単一の組織的な犯罪活動 1つのインフラストラクチャから複数のフィッシング攻撃を展開している。

犯罪用PBNネットワークの可視化 — 5つのフィッシング標的サイトへリンクする9つのドナードメイン
オペレーター1名、PBN提供者9名、フィッシングの標的5件――これが偶然である確率は約0.00001%である

「ザ・スモーキング・ガン」 — 共有インフラ

SEMrush API | クロスドメイン分析 | 2026年3月30日
PBNドナードメインASrabbysdexscrモネロトレゾール
lewievuittton.com65✓✓✓✓
lyricamed.us.com61✓✓✓✓
creatfx.com60✓✓✓✓
jba.com.jo56✓✓✓✓
jornaldevinhedo.com56✓✓✓✓
jasaaspalhotmix.com54✓✓✓✓
magna-eg.com50✓✓✓✓
markjohnsonbuilders50✓✓✓✓
nextplayflix.com49✓✓✓✓
lewievuittton.com に関する注意事項

PBNの最大のドナーサイト(AS 65)は、それ自体がルイ・ヴィトンのタイポスクワットです。このPBNドナーサイトは、他の詐欺サイトを支えている詐欺サイトであり、その根底には犯罪的なインフラが張り巡らされています。

フィッシングドメインのプロファイル

SEMrush ドメイン概要 | 2026年3月
ドメインなりすますキーワードトップターゲット巻数
dexscreener.atDexScreener64「dexscreener」 #42月額60,500
rabbys.atラビー・ウォレット15「ラビー・ウォレット」 #51月額5,400
trezorsuite.atTrezor Suite7「トレゾール・スイート」第32番月額4,400
aster-dex.atAster DEX13「aster取引所」 #25月額3,600
monero-wallet.atモネロウォレット4「xmr オンラインウォレット」 #26月額210
keplr.meKeplrウォレット0コメントスパムのステルス化該当なし
bscscan.cfdBSCScan0大量のスパムリンク該当なし
curvefinance.coCurve Finance0Yahoo!へのインジェクションのみ該当なし
curvefi.coCurve Finance0Yahoo!へのインジェクションのみ該当なし
app-crv.netCurveアプリ0混合技法該当なし
重要:Trezor Suiteのダウンロード

検索中のユーザー 「Trezor Suiteのダウンロード」 ウォレットソフトウェアのインストールを積極的に検討している。DuckDuckGoの検索結果で3~5位に表示されるフィッシングサイトにより、ユーザーはダウンロードしてしまうことになる マルウェア ハードウェアウォレットのインターフェースだと思い込んでしまう。これは単なる仮説ではなく、まさに今、実際に起きていることだ。

AIを活用した記事量産サイト

aster-dex.at の亜種は、 ハイブリッド型アプローチ、ベトナム、イタリア、インドネシア、スイス各地の乗っ取られたサイトやこの目的のために作成されたサイトに、YahooのインジェクションとAI生成のブログコンテンツを組み合わせて掲載する手法である。

フィッシングサイトへのリンクを含む、AIによって生成された同一のブログ記事を量産している工場
不正アクセスを受けたサイトに掲載されたAI生成記事――タイトルは同一だがドメインが異なり、すべて同じフィッシングサイトへリンクしている

このブログの記事は、どれもほぼ同じタイトルになっています: 「なぜトークンスワップや流動性プールは、経験豊富なDEXトレーダーでさえもつまずかせるのか」, 「なぜ自動マーケットメイカーは依然としてトレーダーを驚かせるのか」. これらは AIが生成した記事 AS 21~36のサイトに掲載されており、いずれもaster-dex.atにリンクしています。

コメントスパムの侵入

keplr.me はまったく異なるアプローチをとっています。それは、無関係な高権威サイトへの純粋なコメントスパムです。「ZackaryThymn」、「Fritzkah」、「Jamesboach」といった偽のユーザー名が、哲学教育サイトに暗号資産ウォレットへのアンカーリンクを埋め込んでいます(filozofija.edu.rs, AS 45)、従業員エンゲージメント・プラットフォーム(bavave.com, AS 63)、および芸術祭(lea-festival.com, AS 50)。

コメント欄にフィッシングリンクが隠されている正規のウェブサイト
一見すると普通のユーザーコメントの中に紛れ込み、知らず知らずのうちにフィッシングリンクを掲載している正規のサイト

どん底:自動化されたツールによるスパム

bscscan.cfd ありとあらゆる中で最も粗雑な手法を用いている。その手法とは、文字通り「」という名前のサイトから提供される有料の一括バックリンクパッケージである。 rankongoogle.agency そして linksjump.click. すべてのリンク元で AS = 0 となっています。.cfd という TLD は、スパムの指標として知られています。しかし、Bing では、これさえも部分的には有効です。つまり、ネガティブな履歴のない真新しいドメインであっても、質の低いリンクの数がランキングに影響を与える可能性があるのです。

サイバーパンク風の格安バックリンクマーケットプレイス
「バックリンク1000本 9.99ドル」――最も安価なSEO詐欺ツールは、Bingではまだある程度効果を発揮している

BingとDuckDuckGoが特に脆弱である理由

Googleの要塞対Bingの要塞 — 脆弱性の比較
Googleの多層的なスパム対策と、Bingのまだ未熟な検知機能――詐欺師たちがこの差を悪用している
詐欺師たちが積極的に悪用しているアルゴリズム上の違い
特集GoogleBing
動的ページの検出検索結果ページからのリンク価値はないYahoo!の検索ページは編集コンテンツとして扱われる
スパム機械学習の成熟度15年以上分のSpamBrainトレーニングデータ成熟度が低い;PBN AS 50~65は依然として有効
ブランド保護攻撃的;curvefinance.co はすぐに警告対象となった.at/.co ドメインの詐欺はより長く続いている
AIコンテンツファーム2023年以降に導入された検知機能.vnや.itドメインのAIファームは、依然として合格点に達している
フィッシング対策「セーフブラウジング」は、既知のドメインを素早くブロックしますSmartScreenは、新たに登録された詐欺ドメインを見逃してしまう
DuckDuckGo特有の弱点

DDGは、Bingのインデックスを主要なデータソースとして利用しており、その特性を引き継いでいます。 すべて Bingの脆弱性について。DDGを好むプライバシー重視のユーザーは、多くの場合、暗号技術に精通しており、そのためより価値の高い標的となっている。DDGには独自のスパム報告機能がなく、報告はBingに送られる。

キーワードターゲティング戦略

キーワードプロファイルからは、次のようなことが明らかになっている 外科的な精度 ターゲット選定において。事業者は、主要なブランド用語だけでなく、タイポスクワット(「ラビ・ウォレット」, 「ラビー・ウォレット」, 「dexscrenner」) や、中国語の検索クエリ(「aster取引所」 (25位)。

仮想通貨詐欺師による多言語キーワードターゲティングを示す世界地図
多言語対応:英語、フランス語、中国語、ベトナム語 — その事業は大陸を越えて展開されている
ブランド+検索ボリューム分析 | SEMrush US | 2026年3月
ターゲットキーワード月間取引高詐欺ドメイン役職
dexscreener60,500dexscreener.at#42
ラビー・ウォレット5,400rabbys.at#51–71
トレゾール・スイート4,400trezorsuite.at#32–85
アスター・デックス3,600aster-dex.at#63
dexscrenner誤字2,400dexscreener.at#45
aster取引所中国語1,000aster-dex.at#25
Trezor Suiteのダウンロード260trezorsuite.at#54
ラビ・ウォレット誤字210rabbys.at#54
XMRのオンラインウォレット210monero-wallet.at#55–69

歴史的背景:Trust Wallet/DuckDuckGoの問題

この問題には根深い原因がある

こうした攻撃は決して新しいものではない。問題は 著しく深刻 Trust WalletのようなウォレットがDuckDuckGoを デフォルトのアプリ内検索エンジン. ウォレット内からDeFiプロトコルを検索したユーザーには、フィッシングサイトが検索結果の1位として表示されました――複雑なSEO対策は一切必要ありませんでした。プライバシー重視でスパム検出機能が弱い検索エンジンと、ブラウザが組み込まれた暗号資産ウォレットの組み合わせが、 パーフェクト・ストーム フィッシング対策として。

Trust Walletがデフォルトの検索エンジンとしてDDGの使用をやめた後も、根本的な脆弱性は依然として残っています。どのユーザーも プライバシー保護のため、手動でDuckDuckGoを選択する — 仮想通貨ユーザーと大きく重なる層 — は、今日でもまさにこうした攻撃の標的となり続けている。本報告書で取り上げられた詐欺グループは、この手口のバリエーションを 数年間、検索エンジンが個々のベクトルを徐々に修正していくにつれて、それに適応していく。

身を守る方法

常に正確なドメインを確認してください

REAL Curve Finance → curve.fi (.co、.netを除く) • DexScreener → dexscreener.com (NOT .at) • Rabby → rabby.io (.at、.meを除く) • Trezor Suite → suite.trezor.io (trezorsuite.at ではありません) • Keplr → keplr.app (NOT .me) • BSCScan → bscscan.com (.cfd ではありません)

マイクロソフト/Bingへの提言

  1. 動的ページの検出: 検索結果ページ(Yahoo、Baidu、Google)を分類し、外部リンクからリンクエクイティを除去する
  2. PBNの協調的検出: 9つのドメインが、同一のパターンを持つ5つの異なるサイトへリンクしている場合は、操作行為としてフラグを立てる
  3. ブランドなりすまし対策層: TLD置換攻撃を検知する(dexscreener.atdexscreener.com)
  4. .ATドメインの監視: 暗号資産関連の検索結果ページ(SERP)において、新規登録された.atドメインに対する審査が強化される
  5. DuckDuckGoのクイックガイド: DDGが直接アクセスできる、スパム除去専用のAPIを作成する

結論

これは、その場しのぎのスパムではありません。これは、 専門的に組織化された、マルチブランド・マルチベクター型のSEO運用 GoogleとBingのスパム検出機能の差を悪用するよう特別に設計されています。今日、DuckDuckGoで「Trezor Suite ダウンロード」と検索するユーザーは、本物のサイトが表示される前に、資産を奪うフィッシングサイトに誘導される可能性があります。 技術的な解決策は存在します。問題は、Bingがそれを実装するかどうかです。

劇的な法廷の場面――証拠が提示される中、仮想通貨詐欺犯の裁判が行われている
証拠は公開されています。ドメインは記録されています。被害者は実在します。解決策はマイクロソフトの手に委ねられています。
追跡調査 — 2026年4月17日

第2部:2ドルの戦略――26のフィッシングサイト、1つのドメイン登録業者、7つのBing検索結果1位

今年3月の調査の追跡調査により、以下のことが判明した 新たに発見されたフィッシングドメイン26件 — いずれもDeFiプロトコルを装ったもの — 現在、ランキングでは #1 on Bing ターゲットブランドの検索クエリについて。SEMrush APIのバックリンクデータ、RDAP登録記録、およびソースコードの直接分析を用いて、すべてのドメインを 1人の運営者、1つのレジストラ(NiceNIC)、および15のサイトからなる隠蔽されたPBNネットワーク. ドメインあたりの費用:2ドル。所要時間:10分。

1人の運営者、26のフィッシングの仕掛け、チェックを行わない1つの検索エンジン
運営者は1人。Bingには26のフィッシング用リンクが仕掛けられている。費用はドメインあたり2ドル。
26フィッシングドメイン
1レジストラ(NiceNIC)
7Bingの1位表示
15隠蔽されたPBNサイト
0Googleの検索順位

1つのオペレーター、26のドメイン、1つのレジストラ

26件のフィッシングドメインすべてに対してRDAPクエリを実行しました。そのすべてが、同じレジストラを返しました: NiceNIC International Group Co., Limited。「ほとんど」ではない。「大多数」でもない。 23件中23件すべてが正常に照会されました — 同じレジストラで、認証前に3件のレート制限エラーが発生した(両者のインフラストラクチャのパターンが一致している)。

NiceNICを通じて登録された23のドメインのうち23件を表示するOSINT調査ボード
23件中23件を確認済み。レジストラは同一。顧客も同一。不正利用への対応はゼロ。

RDAP登録データ — 一括登録の証明

RDAPクエリ結果 | 2026年4月 | 26件中23件のクエリが正常に実行されました
ドメインなりすます作成日CloudflareのNSペア
star-gate-finance-stargate.financeスターゲート・ファイナンス2025-09-08テリー/キシメナ
app-vesper.financeヴェスパー・ファイナンス2025-09-08テリー/キシメナ
app-vvs.financeVVSファイナンス2025-09-08テリー/キシメナ
orbit-protocol-lending.netOrbit Protocol2025-10-10テリー/キシメナ
vvsfnance.comVVSファイナンス2025-07-12エイプリル/ケイデン
spooky-swap.netSpookySwap2025-04-15エイプリル/ケイデン
thorwsap.comTHORSwap2025-07-24エイプリル/ケイデン
hyperlokc.comハイパーロック・ファイナンス2025-07-12アーノルド/デスティニー
shadow-ex.netシャドウ・エクスチェンジ2025-06-24アモス/トリシア
v2velodrome.comベロドローム・ファイナンス2025-09-04ダヤナ/マーヴィン
layerbank-v3.comLayerBank2024-09-07オースティン/シェリル
biasterswap.xyzBiSwap2024-09-07レディ/ラングストン
v2-olympusdao.comOlympusDAO2026-03-29nash/romina
uncx.orgUNCXネットワーク2025-12-24コーリー/メーガン
amblent.ccアンビエント・ファイナンス2026-02-09ニコール/サルバドール
juicefi.ccジュース・ファイナンス2026-02-09ニコール/サルバドール
rhea-finance.comレア・ファイナンス2025-05-30
rhea-finance.netレア・ファイナンス2025-05-30
rhea-rhea.orgレア・ファイナンス2025-05-30
silo-finance-silofinance.netサイロ・ファイナンス2025-05-30
一括登録 — 1人のオペレーターで複数のセッションを処理

CloudflareのNSペアが共有されており、作成日も同一であることから、一括登録であることが証明されます:

  • 2025-09-08: star-gate + app-vesper + app-vvs (すべて terry/ximena)
  • 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance(ドメイン4つ、セッション1回)
  • 2026-02-09: amblent.cc + juicefi.cc (nicole/salvador)
  • 2024-09-07: layerbank-v3.com + biasterswap.xyz — 18ヶ月以上継続している運用

「2ドルのプレイブック」――ステップバイステップ

複雑なSEOなんて忘れてください。何ヶ月もかけてリンクを構築する作業も忘れてください。ここでは、Bingの検索結果で1位を獲得するための、完全かつ実証済みの攻略手順をご紹介します。

たった2ドルでフィッシングサイトをBingの検索結果1位にランクインさせる4つのステップ
4つの手順、2ドル、そしてBingがフィッシングサイトを1位にランクイン
タイポスクワットを登録する$1-2 at NiceNIC
タイトルタグを複製する実際のサイトからコピー
PBNに投稿するじゃあね。参考までに、15サイト
2~8週間お待ちくださいBingによるインデックス登録と順位付け
Bing #1実際のプロジェクトの例

ステップ 1:タイポスクワット・レジストリ

26のドメインのうち8つにおけるタイポスクワットの手法
実際のプロジェクトリアル・ドメインフィッシングドメインテクニック
VVSファイナンスvvs.financevvsfnance.com抜け文字 (i)
THORSwapthorswap.comthorwsap.com文字の入れ替え(a/w)
ハイパーロックhyperlock.fihyperlokc.com文字の入れ替え(c/k)
Arbitrumブリッジbridge.arbitrum.ioarbtrumbridge.ccスワップ + 安価なTLD
アンビエント・ファイナンスambient.financeamblent.cc発音に基づく誤記
スラスター・ファイナンスthruster.financethnuster.cc文字の省略(r→n)
オプティミズム・ブリッジapp.optimism.iooptrnismbirdge.cc複数の誤字
スターゲート・ファイナンスstargate.financestar-gate-finance-stargate.financeキーワードの詰め込み

ステップ 2:タイトルタグを複製する($0、5 分)

オペレーターは、その内容をそのままコピーします <title> 実際のプロジェクトのウェブサイトからのタグとメタディスクリプション。 これが、何よりも重要なステップです。 このページ自体は、ウォレットから資金を吸い取るもの、あるいはシードフレーズを盗み出すものですが――しかし <title> Bingが順位付けするものです。

ステップ3:クローキングされたPBNへの投稿(0ドル、1分)

オペレーターは、15カ所のPBN拠点のうちいずれかを訪問します(bye.fyi, atomizelink.icu、など)を選択し、「URLを入力」と表示されたフォームにドメイン名を入力して、「短縮」をクリックします。送信すると、15のサイトすべてに同時にページが作成されます。これらは1つのデータベースを共有しているからです。

ステップ4:待機(2~8週間、0ドル)

証明:バックリンク1つ=Bingで1位

app.thnuster.cc 「Thruster Finance」でBingの検索結果1位を獲得しました。 バックリンクがちょうど1つ — Yahooの検索結果ページ(SERP)のキャッシュ。PBNなど必要なかったのだ。

総費用の内訳

費用時間
ドメイン(.cc/.com:NiceNIC経由)$1-22分
Cloudflare DNS(無料プラン)$01分
実際のサイトからタイトルタグを複製する$05分
PBN(bye.fyi など)に投稿する$01分
インデックス登録が完了するまでお待ちください$02~8週間
合計$1-2約10分

クローキング・エンジンの内部

PBNネットワークから実際のHTMLソースコードを取得し、分析しました。すべてのドメイン上のすべてのページで、同じクローキングエンジンが稼働しています。

ユーザーに表示される内容とBingbotに認識される内容の違い――クローキングの壁
ユーザーに表示される内容とBingbotが認識する内容の違い — その z-index: 1000000 壁には3,500個のリンクが隠されている

ページの構成:400KBのHTML、3,500以上のリンク、4層

レイヤー1 — クローキング・ウォール(ユーザーに表示される部分)
<body style="overflow: hidden;">
  <div style="position:absolute; top:0; left:0;
              width:100%; height:5000px;
              background:white; z-index:1000000;
              font-size:32px; text-align:center;">
    <p>The domain report has Expired!</p>
  </div>

白いdivがビューポート全体を覆っています。z-index:1000000を設定することで、その上に何も表示されないようにしています。 overflow:hidden 画面上に表示されているため、スクロールして先へ進むことができません。ユーザーは「有効期限切れ」という表示を見て、サイトを離れてしまいます。

レイヤー 2 — JS リダイレクト(バックアップ保護)
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator");

ユーザーが白い壁を迂回した場合、JavaScriptによってscrib.liへリダイレクトされます(アフィリエイトによる収益化)。 3重の保護 人間の訪問者に対して。

レイヤー3 — 偽りのファサード(ボットが見ているもの)

BingbotはCSSのオーバーレイを無視し、生のHTMLを解析します。検索フォームのある「URL短縮サービス」サイトを検知します。正規のサイトのように見えます。

レイヤー4 — リンクの量(3,500件のnofollowリンク)
<p>Learn More Here <a rel="nofollow"
     href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ...

このフィッシングドメインは、3,500個のランダムなドメインの中に紛れ込んでいる。 Bingのおやつ rel="nofollow" インデックス化のシグナルとして — それでも、ターゲットをクロールします。

証明:1つのネットワーク、1つのデータベース

orbit-protocol-lending.net 複数のPBNドメインにまたがって表示され、 同じデータベースからの連番ID:

1つのデータベース、15のフロントエンドドメイン――すべてが同じバックエンドから同一のコンテンツを提供している
1つのデータベース。15のフロントエンドドメイン。すべての画面で、同じバックエンドから同一のコンテンツが表示されます。
「異なる」PBNブランド間の連続したID — バックエンドが共通であることを示す証拠
PBNドメインURLパターンID
blogsphere.top/stats/4920749207
optimizeflow.top/stats/4920749207
websites.freemyip.com/share/4920749207
shortenurls.eu/share/4920749207
jake.eu/share/4920749207
dailymusings.top/stats/4920849208
screenshots.wiki/report/4920849208
atomizelink.icu/report/4920849208
byteshort.xyz/report/4920849208

異なる「ブランド」間でIDが共通 = バックエンドは1つ、運営主体も1つ。 15のドメイン。同じHTMLテンプレート。同じCSS(style.css). 同じJavaScript(work.js). 同じ3,500リンクのページです。

第2のPBN — ドメインチェッカー・ネットワーク

別の、より積極的なリンクネットワークが、選定されたターゲットに対してdofollowバックリンクを提供します。マスターサーバー: all-aged-domains.com — 50~80のサテライトドメインにCSS、JS、テンプレートを配信しているWordPress 6.6.2のインストール環境。

クローキングされたPBN(ネットワークA)対ドメインチェッカー(ネットワークB)
特集ネットワークA(隠蔽型PBN)ネットワーク B(ドメインチェッカー)
サイト~15~50-80
クローキングはい(CSS + JSによるリダイレクト)いいえ
リンクの種類99.4%がnofollow99.99%がdofollow
1ページあたりのリンク数~3,500~10,000
ページサイズ400KB4MB
CMSカスタムPHPWordPress 6.6.2
マスターサーバー共有データベース(連番ID)all-aged-domains.com
Google タグ マネージャーいいえはい(トラフィックを追跡します)
皮肉

バックリンクの数が10倍もあり、そのすべてがdofollowであるにもかかわらず、ネットワークBは Bingの1位にはなりませんでした. biasterswap.xyz には 110 の dofollow リンクがあります。layerbank-v3.com には 98 あります。どちらも 1 位にはなっていません。

一方、 app.thnuster.cc被リンク 1件 そして、1位にランクインしています。

Bingにおいては、nofollowでクローキングされたPBNとタイトルの一致を組み合わせた手法が、大量のdofollowスパムよりも効果的です。

なぜBingはこれに引っかかるのか

ゲートでフィッシングを阻止するGoogleの「装甲ロボット」対、ドアを開けて待っているBingの「親しみやすいドアマン」
Googleの装甲ロボットがゲートでフィッシングを阻止する。Bingの愛想の良いドアマンがドアを開けたままにしておく。

「タイトルマッチ」の脆弱性

app.thnuster.cc バックリンクはちょうど1つだけ――Yahoo!の検索結果ページのキャッシュです。このサイトは、Bingで「Thruster Finance」という検索語句において1位にランクインしています。これは、競合の少ないブランド名クエリに対するBingのランキングが、主に以下の要素に依存していることを示しています:

  1. タイトルタグの完全一致 検索クエリに対して
  2. ドメインがインデックスに登録されています (どんなシグナルでも――たとえnofollowリンクが1つだけでも――それで十分です)
  3. 否定的な信頼の兆候がない (ドメインは新規で、履歴はクリーンです)

Googleは、確固たる権威性のシグナルを必要とし、既知のブランドドメインと照合を行います。一方、Bingはそうではありません。

Bing 対 Google — 26のドメインにおける検索順位の結果
メートル法BingGoogle
フィッシングドメインが1位に70
トップ10にランクインしたフィッシングドメイン70
ドメイン作成からの経過期間による順位付け2~8週間決して

Bingの検索結果第1位(SerpAPIによる確認、2026年4月)

クエリ#1 Result (Phishing)被リンク
「スターゲート・ファイナンス」star-gate-finance-stargate.finance20
「シャドウ・エクスチェンジ」shadow-ex.net16
「UNCXネットワーク」www.uncx.org51
「スラスター・ファイナンス」app.thnuster.cc1
「Orbit Protocol」orbit-protocol-lending.net15
「VVSファイナンス」vvsfnance.com (#1) + www.app-vvs.finance (#10)36 + 37

更新された保護リスト(第2部:ブランド)

常に正確なドメインを確認してください

スターゲート・ファイナンス → stargate.finance (star-gate-finance-stargate.finance ではありません) • VVS Finance → vvs.finance (vvsfnance.com ではありません) • THORSwap → thorswap.com (thorwsap.com ではありません) • ヴェロドローム → velodrome.finance (v2velodrome.com ではありません) • UNCX → uncx.network (uncx.orgではありません) • SpookySwap → spooky.fi (spooky-swap.net ではありません) • OlympusDAO → olympusdao.finance (v2-olympusdao.com ではありません) • スラスター → thruster.finance (thnuster.cc ではありません) • アンビエント → ambient.finance (amblent.cc ではありません)

提言(第2部)

マイクロソフト/Bing 様:

  1. タイトルマッチだけでは権威とはならない。 ブランド関連の検索クエリにおいて、タイトルが一致しているという理由だけで、新しいドメインを1位にランク付けすべきではありません。ドメインの運営期間、被リンクの権威性、またはブランド認証のシグナルを要件として設定してください。
  2. CSS を利用したクローキングを検出する。 z-index オーバーレイを使用して、ユーザーにはコンテンツを非表示にしつつ、クローラーには表示しているページは、フラグを立てる必要があります。
  3. 組織的なPBNネットワークを検知する。 15のドメインが1つのバックエンドを共有し、同じリンク先へリンクしている状況は、自然なリンク構築とは言えません。
  4. 暗号資産の検索結果ページ(SERP)で、NiceNICに登録されたドメインにフラグを立てる より厳格な審査を行うため。
  5. DuckDuckGoのスパム優先処理ルートを作成する。 DDGはBingの脆弱性をすべて引き継いでいるが、独自のスパム報告機能は備えていない。

NiceNIC International Group Co., Limited 様:

26件のフィッシングドメイン。顧客は1社。18か月以上にわたって一括登録された。不正利用に対する措置は一切講じられていない。 これは現在、公式に文書化されています。参照: 虐待の通報が放置される場合 そして NiceNIC:システム全体の基盤.

Cloudflare 様:

26のドメインすべてがCloudflareのDNSおよびプロキシを利用しています。これらのドメインは、Cloudflareのインフラストラクチャを介して、ウォレットの資金を搾取するプログラムやシードフレーズを収集するプログラムを配信しています。

第2部 結論

これは、その場しのぎのスパムではありません。これは、 単一の事業者が専門的に運営した、18か月間にわたるキャンペーン Bingのランキングアルゴリズムは、2ドルのドメインとコピーしたタイトルタグを使えば、その仕組みをすり抜けられることを発見した人物。 現在、7つのフィッシングサイトがBingの検索結果で1位にランクインしている — 彼らがなりすましている正規のプラットフォームよりも上位に。

私たちが調査したクローキングのインフラ――データベースを共有する15の同一サイト、CSSによるコンテンツの非表示、およびJavaScriptによるリダイレクトのフォールバック――は、大規模な検索エンジン操作を目的として特別に構築されたツールである。

Googleは26のドメインすべてをブロックしている。Bingはうち7つを1位にランク付けしている。技術的な解決策は存在する。証拠は公開されている。ドメインは記録されている。レジストラも特定されている。 依然として疑問が残る。何か対策が講じられるのだろうか?