Symantec Security Response Weblog
Iframes, Please Make Way for SEO Poisoning」より
November 12,2009 Posted by Nishant Doshi

 読者のブログやWebサイトがハッキングされ,ハッカーの手に落ちた場合,ハッカーにはどのようなことができるのだろうか。例えば,ハッカーは悪質なiframeやJavaScriptコードをWebページに挿入できるし,データを盗むことさえ可能だ。ところが実は,最も可能性の高い行為は該当Webサイトに検索エンジン最適化(SEO)を施すことである。とても信じられないかもしれない。そこで今回は,その理由を説明する。

 SEOとは,対象とするWebサイトの検索順位を上げるために使う技術的手法の総称だ。その中でも,順位上昇を狙って悪用される手口を「ブラックハットSEO」と呼ぶ。ブラック・ハットSEOには,キーワード・スタッフィングやクローキング,リンク・ファームといった方法がある。いずれも,検索エンジン処理アルゴリズムの「すきを突く」小細工だ。

 ハッカーの目的は何なのだろうか。なぜ他人のサイト検索順位上昇を手伝うのか。ハッカーは他人を助けるためでなく,自分のためにこうした行為を働く。

 ハッカーは検索順位を上げるだけでなく,攻撃対象のWebサイトに大量のWebページを作る。こうしたWebページを「偽」Webページと呼ぼう。ハッカーはよく検索される話題に沿った内容で偽Webページを構成するが,その際に使うコンテンツは大半が悪事と無関係なWebサイトやRSSフィードから盗用したものだ。さらにハッカーは,偽WebページのURLにも話題と関連性のある検索キーワードを入れておく。いずれのWebページも,Webサイト運営者の知らぬところで勝手に作られる。例えば「example.com」というWebサイトの場合,以下のような偽Webページを作ることが考えられる。

・example.com/?ohio-voting-results
・example.com/?atlanta-mayoral-race-results
・example.com/?dancing-with-the-stars
・example.com/?nicole-narain

 これらの偽Webページはどれも,対象検索キーワードとの関連性が高く,評判のよいWebサイトから盗んだコンテンツにアクセスをリダイレクトする。

 この状態で,ユーザーがこれらのキーワードのどれかを検索すると,検索結果で偽Webページに出会う。偽Webページは,URL内およびタイトル内に検索キーワードを埋め込んであり,関連性の高いコンテンツを持っていることから,検索エンジンのアルゴリズムによっては検索結果上位に表示されやすい。つまり,偽Webページは検索エンジン・アルゴリズムの「すきを突いて」,検索対象と関連性の高いコンテンツがあるように見せかけるのだ,

 ところでハッカーは,ユーザーを偽Webページにアクセスさせて何をするつもりなのか。ユーザーは,探していた情報を読むだけで済むわけはない。ハッカーは該当Webサイトのホスティング用Webサーバーの設定ファイルを改ざんしており,検索結果ページのリンクから来た偽Webページへのアクセスを偽アンチウイルス/ミスリーディング・アプリケーション用Webページへリダイレクトする。リダイレクト先のコンテンツは,検索エンジン・クローラが認識していた内容とは異なる。この手口がクローキングだ(関連記事:検索エンジンをだます「クローキング」をご存じですか?)。

 クローキングはブラック・ハットSEOの一種であり,検索エンジンのクローラとユーザーの使っているWebブラウザに異なるコンテンツを提供する。さまざまなリンク経由でWebページを見つけてインデックス化する検索エンジン・クローラが偽Webページに辿り着くと,処理中の検索トピックに関連した情報が配信される。偽WebページにはURLやタイトル,コンテンツに関連キーワードが入っているので,検索結果で上位を獲得することが多い。Webブラウザで検索結果ページから偽Webページにアクセスしたユーザーは,偽ウイルス・スキャンWebページにリダイレクトされる。

 クローキングの実行方法はいろいろだ。よく使われるのが,HTTPリクエストのUser-Agent(ユーザー・エージェント)文字列を調べる手口である。検索エンジン・クローラはHTTPヘッダー内のUser-Agentフィールドに特定の文字列を入れるため,Webサーバーはこの文字列に応じてクローラ用のWebページを提供できる。また,Referrer(リファラ)フィールドを調べれば,ユーザーによる検索結果ページ経由のアクセスかどうかが分かる。こうして一般ユーザーのアクセスは,ミスリーディング・アプリケーション配布目的の偽ウイルス・スキャンWebページへリダイレクトする。