URL入力とGoogle検索経由とで違うページが表示される？……マカフィー、怪しげな挙動のサイトを注意喚起

　マカフィーは12日、直接アクセスしたときと、グーグルによる検索結果のリンクをたどってアクセスしたときでは、URLの見た目が同じなのに異なる内容が表示されるという奇妙なWebサイトについて、注意喚起する文書を公開した。

　このサイトは、URLを入力して直接アクセスすると、通常（もしくは正式な）Webページが表示される。ところがGoogle検索の結果経由でアクセスした場合は、まったく異なる偽ブログが現れるという。このようなWebページを実現する手法は、一般に「クローキング」と呼ばれているものだ。アクセスしたユーザーの環境やWebブラウザの閲覧履歴といった情報を読み取り、状況に応じてWebページの内容を変えることを悪用しているのだ。

　この文書では「charles●●.org」というとあるサイトを紹介している。このサイトURLを指定してアクセスすると、ブルーの背景ベースの、ごく普通のサイトが表示される。このサイト名をGoogleで検索すると、同じURLが表示されるが、検索結果のリンクをクリックすると、今度は全く異なる、黒い背景のブログサイトが表示された。このサイトには多数のリンクが含まれており、悪質な広告が掲載されていたとのこと。そしてブログを表示したままで、リンクをクリックせずに数分間放置しておくと、偽ページと入れ替わるように本来のWebページが表示される。

　このサイトには、悪質なJavaScriptコードが暗号化して埋め込まれており、それには隠ぺいされたサブディレクトリ内にあった別の「攻撃要素」へ誘導するリンクが含まれていた。さらにグーグルの検索結果から、現在80以上のサイトがこの攻撃の被害を受けていることも判明したという。マカフィー製品では現在この攻撃を「Exploit-PHPBB.b」として検出している。

　同社では、この攻撃の背後に「クリック課金型（PPC）」リンクや偽ウイルス対策ソフト、悪質なアプリケーションなどで利益を得ている人間が存在すると推測している。さらにこの攻撃では「findwhat.com」を呼び出していることから、PPC検索エンジンを手がけるMiva社の関与が考えられるとしている。

URL入力とGoogle検索経由とで違うページが表示される？……マカフィー、怪しげな挙動のサイトを注意喚起

特集

この記事の写真

関連リンク

関連ニュース

増え続ける「World of Warcraft」のアカウントフィッシング詐欺…マカフィーが注意喚起

“全ユーザが使用すべき”……他人の情報を見る「Firesheep」を無効化する「HTTPS-Everywhere」

今もっとも危険な国別ドメインは「ベトナム（.vn）」だった……マカフィー、ワースト世界分布を発表

マカフィー、仮想化環境に特化したセキュリティプラットフォーム「McAfee MOVE」提供開始