🐈

Hugo 0.16 で baseurl を指定しないと詐欺サイトに飛ばされてしまうので注意!

2021/02/21に公開2

はじめに

Hugo 0.16 で特に気をつけなければいけないことです。Hugo 0.16 を使用する方は注意して下さい。

また、この記事は、Hugoでウェブページを作ったり、他の人のウェブページを見ていたときにいきなり変なサイトに飛ばされてしまい、以下のような警告が表示されてしまい困っている人、およびその原因を知りたい方も対象にしています。

suspicious_alert1.png

notification.com-security-9.com の内容:
ウイルス検出

あなたが前回訪問したウェブサイトが、あなたのデバイスをウイルス感染されました。

復旧プロセスを開始するにはOKを押してください。

suspicious_alert2.png

The page at fromslowmactofastmac.com says:
お使いのMacの迷惑メールを削除することをご検討下さい。
Click OK to Download MacKeeper.

※ 他にも似たような詐欺ページはあるようです。

結論から言うと、これらのページの警告は無視して下さい。詳しい内容は後述します。

まずはじめになぜこのようなサイトに飛ばされてしまうのか、その原因を説明します。

原因

原因は Hugo 0.16 で起こります。Hugo 0.16 に脆弱性があるということではなく、Hugo 0.16 でURLの設定をうっかりし忘れると起こる問題です。

Hugo で $ hugo new site yoursite を実行すると Hugo のディレクトリが生成されます。このディレクトリの中に config.toml という設定ファイルがあり、ここに諸々の設定を書きます。

設定ファイルの必須項目として、baseurl というものがあります。ここに自分のドメインを入力することで自分のウェブページを Hugo で立ち上げることができるのですが…

Hugo 0.16 ではデフォルトで以下のように記述されています。
baseurl = "http://replace-this-with-your-hugo-site.com"
⚠️ 上記URLにはアクセスしないでください

この replace-this-with-your-hugo-site.com というのが原因で、悪質な人がこのドメインを取得しており、冒頭で示したようなウイルスに感染したなどの警告を出すページに飛ばしています。

おそらく Hugo 0.16 で baseurl のデフォルト設定が変更されたことを狙ってドメインを取得して悪用しているのだと思われます。

このサイトは悪意のあるページに飛ばして、ウイルス警告などを出しますが、この警告はただのアラートなので、書かれている内容は偽情報です。なので無視していれば特に問題はありません。

ただ、アラートが表示されている状態だとそのページを削除することができないので「OK」を押さざるを得ない状況になってしまいます。

利用者側の解決策

解決策はアラートを出しているページのプロセスを切ってしまうことです。

Google Chrome では、タスクマネージャーを開き、アラートを出しているページを選択して「プロセスを終了」というボタンを押すことでアラートを消すことができます。

他のブラウザでも似たような方法で削除することができると思います。Google Chrome でのタスクマネージャーの開き方や他のブラウザでの方法については各自で調べてください。

運営側の解決策

言わずもがな、config.tomlbaseurl の値を必ず変更して下さい。テストで試す場合でも必ず変更して下さい。自分のドメインが使用できないときはとりあえず localhost と設定しておきましょう。

baseurl = "http://localhost"

なお、ここで設定したURLに飛ぶのは、$ hugo で生成された静的ページのみです。$ hugo server を起動したときは http://localhost:1313 になるので問題はありません。

OKボタンを押してしまった場合

うっかり「OK」ボタンを押してしまっても焦らないでください。さっきも説明しましたがウイルスや迷惑メール警告は偽情報なので放っておけば問題ありません。

「OK」ボタンを押すと「〜をダウンロードしてください」等の画面が表示されますが、その時点でもまだ大丈夫です。うっかり「今すぐウイルスを削除」「クリックはこちら」などのボタンを押さないようにしてください。

何かのアプリケーションをインストールしてしまうと悪さをする可能性がありますので、絶対にインストールしないでください

未然にアクセスを防ぐ方法

一番良いのはリンクをクリックする前にドメインを確認することなのですが、人間誰しもミスはするので、うっかりアクセスしてしまうことがないとは言い切れません。

色んな方法があると思いますが、自分のPCのホストに別のIPを登録しておけば問題ないと思います。

Macでは /etc/hosts に以下の1行を追加すればOKです。

/etc/hosts
127.0.0.1    replace-this-with-your-hugo-site.com

こうすることでうっかりこのサイトにアクセスしてしまっても localhost に接続されるようになります。本来、存在するドメインを設定することはしないのですが、わざわざこのような悪質なサイトにアクセスすることもないので問題ないと思います。

ただし、一度本来のサイトにアクセスしてしまったあとに、この設定をして試しにアクセスしたときにキャッシュが残っていると再び元のサイトが表示されてしまう可能性があるので注意して下さい(ただのアラートなので問題ないとは思いますが一応注意として)

Hugo 0.17 に期待

この問題はすでに GitHub の Issue に上がっており、修正されています。

Default baseurl of replace-this-with-your-hugo-site.com is a very suspicious - GitHub Issue

Hugo 0.16 がすでにリリースされてしまったあとなので Hugo 0.16 では注意する必要がありますが、最新のリポジトリは example.org に変更されているので 0.17 ではおそらく問題ないかと思われます。

Replace replace-this-with-your-hugo-site.com with example.org - GitHub

GitHubで編集を提案

Discussion

peaceirispeaceiris

Hugo 0.16 (2016-06, まだ spf13 さんがメンテナー) の頃はこんなことがあったのですね、知りませんでした ʕ◔ϖ◔ʔ

Kosuke AokiKosuke Aoki

そうなんですよ、昔使っていた頃に引っかかったので注意喚起の意味も込めて記事にしてみました。といってもだいぶ前の話なので今さら需要はないのですが……。