乗っ取りサイト対策しました

技術メモ

●乗っ取りサイトについて

http://linkis.comというサイトは、表向きはシェアするためのサービスツールということですが、iframe内に表示するという手法を使っており、事情を知らないアクセスユーザーにとっては、事実上乗っ取られている状況を作り出しており、大変迷惑します。
これは、クリックジャッキングと呼ばれています。

●Google検索で比較的上位に出てきます

Google検索で“八雲エンライトメント”で検索すると、1ページ目9番目あたりに出てきます。

screen4

赤枠の検索結果がそれです。

(1)サイトタイトルの末尾にlinkis.comが付いている
(2)URLがln.isから始まっている ln.is/en-light.net/Snjc9

見つけた範囲では、以下のようなリンクがあります。

http://linkis.com/en-light.net/Snjc9
http://linkis.com/Snjc9
http://linkis.com/en-light.net/archive/awWLG
http://linkis.com/awWLG

いずれも、ホームページアドレスが、私のサイト( https://en-light.net )ではありません。

●対策しました

上記のlinkis.comのアドレスでアクセスすると、コンテンツが表示されないように設定を変更しました。

スマートフォンの場合:
mob-blank
パソコンの場合:
pc2

それでも、ツィッター連携の画面が出て来ることがあります。

スマートフォンの場合:

screen1a

パソコンの場合:
pc3

これらが出てきても、クリックせずブラウザを終了させてください。

本来のアドレスから( https://en-light.net )であれば、問題なく表示されます。

●技術的な解説
同じような問題で困っている人もいるかと思うので、技術的な解説を書いておきます。
ある程度Webサーバーに知識がある人向けなので、個々の細かい解説は自分で調べてくださいね。

(1).htaccess ファイルは、Webサーバの挙動を設定するファイルで、こちらに設定を書き込みます。

(2)X-Frame-Options HTTP レスポンスヘッダは、iframe内表示を防止する機能があります。
設定の為の記述はこちら: Header always append X-Frame-Options SAMEORIGIN

(3)これを.htaccessの末尾に一行追加します。

(4)すると、linkis.comのように、iframeを使って、自社のドメイン下で他人のコンテンツを表示させているような場合、コンテンツを表示しなくなります。

こちらのページを参考にしました:

linkisとかいう微妙サービス経由でシェアされるのをカドが立たないように回避する方法
https://ywnb.net/p/201504/1684

iframe内からWebページが読み込まれるのを防止する X-Frame-Options HTTP レスポンスヘッダ
http://buzzwordjp.blogspot.jp/2011/09/iframe-x-frame-options-http.html

クリックジャッキングって?
http://www.techscore.com/blog/2015/03/05/クリックジャギングって?/

コメント

タイトルとURLをコピーしました