今日、Webサイトを持っている企業はどこもGoogle検索結果の上位に表示されることがいかに重要かを認識しているはずだ。そのためにさまざまな検索エンジン最適化(SEO)テクニックが考案されており、サイト管理者はこれらをPageRankの上位になるためのキーとなる技術として利用している。

前編で触れたクローキングの最後のステップとして、疑っていないユーザーがPDFのリンクをクリックした際に、不正なWebサイトにリダイレクトする。

ソフォスは、このテクニックはさまざまな目的に利用できると見ている。その1つが、マルウェアの散布。しかし、この手法が利用されているのを確認できたのは、"binary trading(バイナリー取引)"サービスのプロモーションを図るマーケティングキャンペーンのみだという。

下の画像が、"binary trading austria(バイナリ 取引 オーストリア)"で検索したときに最初に表示されるページの例で、PDFファイルが多数上位にあることがわかる。ほぼすべてが同じキャンペーンに属している。

PDFへのリンクをクリックすると、"binary options(バイナリーオプション)"取引仲介業者のWebサイトにリダイレクトされる。

実際のPDFドキュメントを見るためには、Googleの検索結果からキャッシュバージョンを選択する必要がある。

ドキュメントは一見合法的に見えるが、読み始めるとそうではないことがわかる。また、あちこちにハイパーリンクが張り巡らされている。これらのリンクを追跡していくと、Googlebotへのリンクファームが明らかになる。

このドキュメントから他のフレーズやキーワードの組み合わせを調べてみたのち、いくつかの3つのキーワードの組み合わせで検索してみた。すると、どれも同じPDFに行き着くことがわかった。例えば、"safe stock trade US(安全 株 取引 米国)"といった広義にとれる組み合わせでも、下のように上位にPDFファイルが表示された。

疑いのないユーザーが合法的と思い込んでPDFドキュメントへのリンクをクリックした際に、どうみえるのかを調べるために、Webブラウザーの開発者向けツールを利用したところ、下のようなリダイレクトチェーンが明らかになった。

驚きではないが、リダイレクトにはマルウェア転送に用いられるTDS(Traffic Distribution Systems;トラフィック分配システム)サイトがいくつかが含まれており、このキャンペーンを担当するアフィリエイトマーケッターのユニークなIDに転送されていることがわかる。