公開メールアドレスを間違えていませんか？

連絡先として公開しているメールアドレスを間違えていないか確認することをお勧めします。具体的には自身の連絡先としてGMailやYahoo!メールを利用している場合に誤ったメールアドレスを公開していないかを確認することのお勧めです。

メールアドレスに用いられる著名ドメイン名に類似していながら微妙に異なるドメイン名をドッペルゲンガードメインと呼んでいるようです（当ブログ著者の語彙には無い）。ドッペルゲンガードメインという言葉の初出は2011年9月6日のGodai Groupによる記事のようですが、日本語での用例は2022年11月21日に埼玉大学が発表した「メール転送先ミスによる情報漏えいについて」以後に情報漏えい事故の報告や報道で多く見かけるようになりました。

埼玉大学の公表した事例は

• A: メールの受信者が転送先を誤っていた

ものでした。その後報道される事例では

• B: メールの送信者が送信先を誤った

ものが多く、個人情報など機密性のある情報をメールアドレスの入力を誤って送信したということのようです。 今回の記事はA、Bのパターンのほかに、

• C: 組織あるいは個人が自身の連絡先として誤ったメールアドレスを公開する

パターンがあることを示し、注意喚起を行うものです。

アイキャッチ画像に示すように連絡先として誤ってgmai.com（.comの前に"l"が足りない）やyahooco.jp（yahooとcoの間に"."が足りない）を掲載しているウェブサイトが複数あります（画像は特定を避けるため大きく加工しています）。 こうしたサイトを見てメールアドレスをコピー＆ペーストしてメールを送ると、誤ったドメインに送ってしまうことになります。 少なくとも送信者のメールアドレスが意図しない第三者に知られることになりますし、内容によっては機密性のある情報の漏えいを懸念しなければならない可能性もあります。 誤ったメールアドレスを記載した場合に意図しないドメインに送信されるのはGMailやYahoo!メールに限られるわけではありませんが、このふたつのドメインでは実際に懸念される状況があることもあり特に注意を喚起します。

主に大学にある日本語のwikiへの意図しないコンテンツ掲載への注意喚起

間の悪いことに前回のブログを書いているあたりから、コメントスパムよりも意図しないコンテンツの掲載の方が目立つようになっています。これも主に大学にあるwiki（圧倒的にPukiWikiが多い）が狙われています。

一部のwikiサイトでは認証なく新しいコンテンツの追加が可能なように設定されています。認証不要の設定自体は管理者の意図したものの可能性がありますが、その後の管理頻度の下がったサイトに対して管理者の望まないであろうコンテンツが掲載される例が短期間に増えているようです。権限の侵害や認証の不備以外の脆弱性の悪用などは行われていないように見えます。「Zone-H」 http://www.zone-h.org/archive に掲載されるような目立つのが目的のものもあれば、不正ショッピングサイトへの誘導を目的としたものもありますが、いずれも認証なく新しいページが作成可能な状態を利用しているようです。

Wikiサイトでは編集権限を認証された利用者に限定するか、高頻度でコンテンツのチェックを行う体制を取られるようお勧めします。また、URL末尾に ?teststring などを付加するなどして実際にエラーになるか認証要求が行われるかの確認もお勧めします。認証なくteststringページの編集画面に移行するようだとコンテンツを追加される可能性がありますし、編集画面自体を悪用することもあるようです。

なおZone-Hへの掲載されたものから.jpドメインのものを抽出しておられる「JPドメイン　Web改竄速報」http://izumino.jp/Security/def_jp.html とそのツイッターアカウント @def_jp は情報収集に有益です。

主に大学にある日本語のwikiへのコメントスパムに関する注意喚起

当方での観測範囲では日本語のwikiへのコメントスパムが増えているようです。
いずれも内容が好ましくないであろうと想像される内容となっています。
多くの場合は大学にあるようで、典型的なものは過年度の講義用に作成されたものか既に卒業・修了したと思われる学生が管理していたとみられるものです。
数が多いのと権限の侵害ではない可能性が高いことから個別にお知らせはしておりませんが、ここに（誰も見ていないブログで…）注意喚起をいたします。

スタイル指定で隠されたウェブ改ざん

既存のページに対する改ざんで気づきにくいものの一つに、スタイル指定で通常のブラウザでは見えないようにしたコードを書き加えるものがあります。多くの場合不正な広告を挿入するもので、ブラウザでは見えなくても Google と Bing は文字列を拾うため意図しないサイトへリンクを張ってあるように扱われてしまいますし、意図しない文字列で当該サイトが検索できてしまう状態になります。さらに先述の「User-Agent が検索エンジンのものであった場合にのみ不正な内容を表示するウェブ改ざん」 http://blog.goo.ne.jp/kagenanigashi/e/60cc5a3c371b5b6ffb28ed260c35cb82 と組み合わせ、User-Agent が Googlebot や Bingbot だったときだけに通常のブラウザに表示されないような改ざんが見られるようなものもあります。

非常に多く見かけるのは
<div style="position:absolute; left:-3813px; top:-2142px;">
のように大きな負の値の絶対位置指定を使って表示位置をブラウザの枠外に指定したものです。

これはあるサイトが受けていた改ざん被害の例ですが、いろいろ書き加えられているにもかかわらず通常のブラウザで表示すると

と何も変わったところは見られませんでした。しかしスタイル指定を無視すると

と表示され、改ざんされていることがわかります。
この例では改ざんにより書き加えられた部分は HTML 末尾でしたが、ほかには </head> 直下、<body> 直下もよく見ます。しかし中には HTML の途中へ書き加えているものもあります。次のものはその一例です。

「Let it Go～ありのままで～」という一単語の途中に </p> からはじまる改ざんコードが挿入されています。この改ざんを受けたサイトでは </p> <p> が一組加わるため改行が増えますが、改ざんにより加えられた文字列は表示されません。

注意深く見ていれば気付ける可能性はありますが、なかなか難しいと思います。これもスタイル指定を無視すると

と表示され異常があることがはっきりわかります。

注記：上記の例に挙げた２サイトには連絡を行い、何らの返信は得られていませんが、改ざん状況はすでに改修されていることを確認しています。攻撃者の意図に乗って広告を広めないため・被害を受けたサイトの特定を避けるため、多くの部分を伏せたり変更したりしています。

<div style="position:absolute; … のタイプ以外に

<p style="color:#fff;">
として背景色が白（#fff）である場合に白い文字で書いて見えにくくしたもの

<div style="display: none">
としてそもそもブラウザには表示させないが検索エンジンには拾われることを狙うもの

<marquee height="1" width="1" scrollamount="4000" scrolldelay="1000">
と1px×1pxの箱の中に押し込んで marquee するもの

などのスタイル指定で改ざんを隠すものも発見していますが、掲載できるサンプルを持っていないのでキャプチャは省略します。

こうした改ざんはブラウザにスタイル指定を無視させる表示をすると容易に発見できます。Lynx や w3m などのテキストブラウザを使うのが一つの方法ですが、Firefox では１つのタブだけスタイル指定を無視する設定ができますのでこれもお勧めしておきます。「表示」→「スタイルシート」→「スタイルシートを使用しない」です。

Google Chrome では Pendule https://chrome.google.com/webstore/detail/pendule/gbkffbkamcejhkcaocmkdeiiccpmjfdi を入れ "Disable all styles" とするとほぼ同じことができますが、いくつかのスタイル指定は無視できないようです。

2018年6月4日追記
紹介した Google Chrome の拡張機能 Pendule が Chrome ウェブストアには存在するのにインストールできなくなり、インストール済の Chrome からも削除されました。長らく更新されていないため現在求められている仕様に適合しなくなったことが原因と思われ、拡張機能に不正が疑われているわけでは無さそうです。Manifest Version - Google Chrome https://developer.chrome.com/extensions/manifestVersion には "Developers should currently specify 'manifest_version': 2:" とありますが、Pendule にはこの指定がありません。

代替には Pendule より高機能な Web Developer https://chrome.google.com/webstore/detail/web-developer/bfbameneiokkgbdmiekhjnmfkcnldhhm がありますが、安全性については不明です。

【追記】User-Agent が検索エンジンのものであった場合にのみ不正な内容を表示するウェブ改ざん

「User-Agent が検索エンジンのものであった場合にのみ不正な内容を表示するウェブ改ざん - 陰某論」 http://blog.goo.ne.jp/kagenanigashi/e/60cc5a3c371b5b6ffb28ed260c35cb82 への追記です。

先のエントリでは

既存のページに改ざんが行われ、検索エンジンに対して不正なコンテンツを返す場合がある

ことを書いたのですが（わかりにくかった）、このほかに

通常のブラウジングでは表示されない不正なページが追加され、User-Agent が検索エンジンのものであった場合にのみ表示される

ような改ざんも存在します。この二つのパターンの改ざんが一つのウェブサイトに対して両方とも行われている場合もあります。

あわせて注意喚起いたします。

User-Agent が検索エンジンのものであった場合にのみ不正な内容を表示するウェブ改ざん

「高松空港ウェブサイト改ざん - 陰某論」 http://blog.goo.ne.jp/kagenanigashi/e/5f5d425e4bb47f90f308665668ec3c08 に関連する注意喚起です。

高松空港ウェブサイトの例と同様に User-Agent が検索エンジンのものであった場合にのみ不正な内容を表示するように改ざんされたウェブサイトが複数あることを確認しています。ウェブサイト管理者の皆様は自分が管理するサイトの Google／Yahoo! Japan／Bing での検索結果に不審な内容が無いか、あるいはブラウザの設定で User-Agent を "Googlebot" や "Bingbot" に設定した場合に不審なコンテンツが表示されないか、随時確認されるようお勧めいたします。

正式な Googlebot の User-Agent は https://support.google.com/webmasters/answer/1061943?hl=ja に、また Bingbot のものは https://www.bing.com/webmaster/help/which-crawlers-does-bing-use-8c184ec0 に記載されていますが、完全な文字列ではなくともそれぞれ "Googlebot" や "Bingbot" と設定しただけでも確認できることが多いようです。ブラウザではなく wget で
wget --user-agent="Googlebot" http://example/
などとしても確認できます。このほか Google Search Console の Fetch as Google 機能
https://support.google.com/webmasters/answer/6066468?hl=ja
でも確認できると思われます。

不幸にして改ざんされその内容が検索エンジンにキャッシュされている場合には、サイト復旧とあわせて検索結果やキャッシュの削除をお勧めします。Google と Bing の検索結果・キャッシュはそれぞれが提供するツールで削除できます。Yahoo! Japan は Google のインデックスを利用しているので Google で削除されれば波及するものと思われます。Google での削除方法は
https://support.google.com/webmasters/answer/6332384?hl=ja
に、Bing では
https://www.bing.com/webmaster/help/bing-content-removal-tool-cb6c294d
に説明があります（Bing は英文）。

Google に関しては削除要請は速やかに対応されると感じています。Bing については承知していませんが、高松空港ウェブサイトのケースから推測するにこちらも速やかに対応されるものと思われます。一方で削除要請を行わずページの削除や修正のみで放置した場合には長期間検索可能なままである場合があります。たとえば User-Agent に依らない改ざんの例ですが
「高野山大学の公式サイト内に通販詐欺サイトの誘導ページが大量に ( その他インターネット ) - 無題な濃いログ - Yahoo!ブログ」 http://blogs.yahoo.co.jp/fireflyframer/33018807.html
のケースは無題な濃いログさんほかで話題になった後に改ざんは修正されましたが、2年近く経つ本記事執筆時点でいまだに検索が可能です。