McAfee Avert Labs Blog
Do you know cloaking?」より
July 18,2008 Posted by Francois Paget

 フランスのセキュリティ調査機関French CERT-ISTで働いている友人が,奇妙なWebサイトについて警告してくれた。直接アクセスしたときと,米グーグルの検索結果のリンクをたどってアクセスしたときでは,URLの見た目は同じなのに異なる内容が表示されるという。今回はこの現象を説明しよう。

 URLを指定してアクセスすると,通常(もしくは正式な)Webページが表示された。ところがグーグル経由でアクセスした場合は,別のWebサイトへのリンクなどが掲載された偽ブログが現れた。リンク先には悪質なところもあった。こうしたWebページを実現する手法は一般に「クローキング」と呼ばれる。アクセスしたユーザーの環境やWebブラウザの閲覧履歴といった情報を読み取り,状況に応じてWebページの内容を変える。

 まず,クローキングの例を紹介する。「Internet Explorer(IE)」のアドレスバーにクローキングされたURLを入力すると,そのまま以下のサイトにアクセスできた。

 グーグルで同じサイトを検索すると,以下の結果が得られた。

 検索結果のリンクをクリックすると,驚いたことに,検索したサイトと同じ名前だが,予期していた内容と全く異なる偽ブログにたどり着いた。このブログには,悪質な広告が掲載されている。

 ブログを表示したままリンクをクリックしないで数分放置しておくと,偽ページと入れ替わるように本来のWebページが表示される。掲載されているリンクは,どれも非常に怪しげな広告サイトへユーザーを誘導する。

 こうしたクローキング動作を実現するため,問題のWebページには簡単な命令を記述した部分がある。この命令で,長々とエスケープされていない悪質なJavaScriptコードが起動する。

 このコードをデコードしたところ(今回はhttp://scriptasylum.com/tutorials/encdec/encode-decode.htmlで提供されているデコード機能を使った),隠ぺいされたサブディレクトリ内にあった別の「攻撃要素」へ誘導するリンクが現れた。

 グーグルの検索結果から,このファイル・アーキテクチャが一つだけでないことを知った。現在80以上のサイトがこの攻撃の被害を受けているが,この攻撃用ファイルは幸い米マカフィーのセキュリティ・ソフトウエアで「Exploit-PHPBB.b」として検出できる。

 この攻撃の背後には,「クリック課金型(PPC)」リンクや偽ウイルス対策ソフト,悪質なアプリケーションなどで利益を得ている人間が存在するらしい。儲かる仕事であることは間違いない。

 既に2006年の時点で,今回取り上げたWebサイトのIPアドレスは米マイクロソフトのインターネット・トラフィック監視ツール「Fiddler」で警戒対象とされていた。それから2年も過ぎたが,該当IPアドレスは有効なままで,米グローバル・ネット・アクセスと米ISPrimeという2社がホスティングしている。

 FiddlerのWebセッションで表示されるURLの中には,アフィリエイト用IDを含むものが複数ある。「findwhat.com」を呼び出していることから,PPC検索エンジンを手がける米Mivaの関与が考えられる(訳注:findwhat.comの運営会社,米FindWhat.comはMivaの親会社)。新たなページがロードされるたび,findwhat.comのサーバーはアフィリエイト用IDを記録する。その結果,アフィリエイトを行っている人物はクリックを収入源にできるのだ。このように調べることで,クローキング・サイトの正体が暴ける。

 現時点で,このクローキング集団の行為を早急に阻止しようとする動きは見られない。うまく自分で対処できている人が多いようだ。


Copyrights (C) 2008 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Do you know cloaking?」でお読みいただけます。
■変更履歴
出典をMcAfee Avert Labsに修正しました。 [2008/07/29 20:19]