マカフィーは12日、直接アクセスしたときと、グーグルによる検索結果のリンクをたどってアクセスしたときでは、URLの見た目が同じなのに異なる内容が表示されるという奇妙なWebサイトについて、注意喚起する文書を公開した。
このサイトは、URLを入力して直接アクセスすると、通常(もしくは正式な)Webページが表示される。ところがGoogle検索の結果経由でアクセスした場合は、まったく異なる偽ブログが現れるという。このようなWebページを実現する手法は、一般に「クローキング」と呼ばれているものだ。アクセスしたユーザーの環境やWebブラウザの閲覧履歴といった情報を読み取り、状況に応じてWebページの内容を変えることを悪用しているのだ。
この文書では「charles●●.org」というとあるサイトを紹介している。このサイトURLを指定してアクセスすると、ブルーの背景ベースの、ごく普通のサイトが表示される。このサイト名をGoogleで検索すると、同じURLが表示されるが、検索結果のリンクをクリックすると、今度は全く異なる、黒い背景のブログサイトが表示された。このサイトには多数のリンクが含まれており、悪質な広告が掲載されていたとのこと。そしてブログを表示したままで、リンクをクリックせずに数分間放置しておくと、偽ページと入れ替わるように本来のWebページが表示される。
このサイトには、悪質なJavaScriptコードが暗号化して埋め込まれており、それには隠ぺいされたサブディレクトリ内にあった別の「攻撃要素」へ誘導するリンクが含まれていた。さらにグーグルの検索結果から、現在80以上のサイトがこの攻撃の被害を受けていることも判明したという。マカフィー製品では現在この攻撃を「Exploit-PHPBB.b」として検出している。
同社では、この攻撃の背後に「クリック課金型(PPC)」リンクや偽ウイルス対策ソフト、悪質なアプリケーションなどで利益を得ている人間が存在すると推測している。さらにこの攻撃では「findwhat.com」を呼び出していることから、PPC検索エンジンを手がけるMiva社の関与が考えられるとしている。
