Hugo 0.16 で baseurl を指定しないと詐欺サイトに飛ばされてしまうので注意!
はじめに
Hugo 0.16 で特に気をつけなければいけないことです。Hugo 0.16 を使用する方は注意して下さい。
また、この記事は、Hugoでウェブページを作ったり、他の人のウェブページを見ていたときにいきなり変なサイトに飛ばされてしまい、以下のような警告が表示されてしまい困っている人、およびその原因を知りたい方も対象にしています。
notification.com-security-9.com の内容:
ウイルス検出あなたが前回訪問したウェブサイトが、あなたのデバイスをウイルス感染されました。
復旧プロセスを開始するにはOKを押してください。
The page at fromslowmactofastmac.com says:
お使いのMacの迷惑メールを削除することをご検討下さい。
Click OK to Download MacKeeper.
※ 他にも似たような詐欺ページはあるようです。
結論から言うと、これらのページの警告は無視して下さい。詳しい内容は後述します。
まずはじめになぜこのようなサイトに飛ばされてしまうのか、その原因を説明します。
原因
原因は Hugo 0.16 で起こります。Hugo 0.16 に脆弱性があるということではなく、Hugo 0.16 でURLの設定をうっかりし忘れると起こる問題です。
Hugo で $ hugo new site yoursite
を実行すると Hugo のディレクトリが生成されます。このディレクトリの中に config.toml
という設定ファイルがあり、ここに諸々の設定を書きます。
設定ファイルの必須項目として、baseurl
というものがあります。ここに自分のドメインを入力することで自分のウェブページを Hugo で立ち上げることができるのですが…
Hugo 0.16 ではデフォルトで以下のように記述されています。
baseurl = "http://replace-this-with-your-hugo-site.com"
⚠️ 上記URLにはアクセスしないでください
この replace-this-with-your-hugo-site.com
というのが原因で、悪質な人がこのドメインを取得しており、冒頭で示したようなウイルスに感染したなどの警告を出すページに飛ばしています。
おそらく Hugo 0.16 で baseurl
のデフォルト設定が変更されたことを狙ってドメインを取得して悪用しているのだと思われます。
このサイトは悪意のあるページに飛ばして、ウイルス警告などを出しますが、この警告はただのアラートなので、書かれている内容は偽情報です。なので無視していれば特に問題はありません。
ただ、アラートが表示されている状態だとそのページを削除することができないので「OK」を押さざるを得ない状況になってしまいます。
利用者側の解決策
解決策はアラートを出しているページのプロセスを切ってしまうことです。
Google Chrome では、タスクマネージャーを開き、アラートを出しているページを選択して「プロセスを終了」というボタンを押すことでアラートを消すことができます。
他のブラウザでも似たような方法で削除することができると思います。Google Chrome でのタスクマネージャーの開き方や他のブラウザでの方法については各自で調べてください。
運営側の解決策
言わずもがな、config.toml
で baseurl
の値を必ず変更して下さい。テストで試す場合でも必ず変更して下さい。自分のドメインが使用できないときはとりあえず localhost
と設定しておきましょう。
baseurl = "http://localhost"
なお、ここで設定したURLに飛ぶのは、$ hugo
で生成された静的ページのみです。$ hugo server
を起動したときは http://localhost:1313
になるので問題はありません。
OKボタンを押してしまった場合
うっかり「OK」ボタンを押してしまっても焦らないでください。さっきも説明しましたがウイルスや迷惑メール警告は偽情報なので放っておけば問題ありません。
「OK」ボタンを押すと「〜をダウンロードしてください」等の画面が表示されますが、その時点でもまだ大丈夫です。うっかり「今すぐウイルスを削除」「クリックはこちら」などのボタンを押さないようにしてください。
何かのアプリケーションをインストールしてしまうと悪さをする可能性がありますので、絶対にインストールしないでください。
未然にアクセスを防ぐ方法
一番良いのはリンクをクリックする前にドメインを確認することなのですが、人間誰しもミスはするので、うっかりアクセスしてしまうことがないとは言い切れません。
色んな方法があると思いますが、自分のPCのホストに別のIPを登録しておけば問題ないと思います。
Macでは /etc/hosts
に以下の1行を追加すればOKです。
127.0.0.1 replace-this-with-your-hugo-site.com
こうすることでうっかりこのサイトにアクセスしてしまっても localhost
に接続されるようになります。本来、存在するドメインを設定することはしないのですが、わざわざこのような悪質なサイトにアクセスすることもないので問題ないと思います。
ただし、一度本来のサイトにアクセスしてしまったあとに、この設定をして試しにアクセスしたときにキャッシュが残っていると再び元のサイトが表示されてしまう可能性があるので注意して下さい(ただのアラートなので問題ないとは思いますが一応注意として)
Hugo 0.17 に期待
この問題はすでに GitHub の Issue に上がっており、修正されています。
Default baseurl of replace-this-with-your-hugo-site.com is a very suspicious - GitHub Issue
Hugo 0.16 がすでにリリースされてしまったあとなので Hugo 0.16 では注意する必要がありますが、最新のリポジトリは example.org
に変更されているので 0.17 ではおそらく問題ないかと思われます。
Replace replace-this-with-your-hugo-site.com with example.org - GitHub
Discussion
Hugo 0.16 (2016-06, まだ spf13 さんがメンテナー) の頃はこんなことがあったのですね、知りませんでした ʕ◔ϖ◔ʔ
そうなんですよ、昔使っていた頃に引っかかったので注意喚起の意味も込めて記事にしてみました。といってもだいぶ前の話なので今さら需要はないのですが……。