target="_blank"はフィッシング攻撃の標的に?こぞってASPが対応した訳とは?
target="_blank"target="_blank"
target="_blank"は便利じゃないの?
WEBページを作成されている人向けの記事です。
なんのこっちゃ?という方は離脱して頂いて構いません。
ブログやアフィリエイトサイトなどを作る際に他のサイトにリンクを貼るときに使うタグが「target="_blank"」です。
「target="_blank"」のタグを使うと親元のページは開いたままで新しいタグが勝手に開いてそちらにリンク先のウェブサイトを表示してくれるタグなので、私も良かれと思って多用していました。
「target="_blank"」の利点はウェブサイトの今見ている親元のページは表示したままになるので、新しいページを開いても元のページは残るので多用していたのですが、どうも「target="_blank"」自体はあまり好ましくないタグだということを最近知りました。
ページの閲覧者は「target="_blank"」のタグで新しいタグが開かれなくても、その親元のページを残したければ「新らしいタグで開く」という行動をとるので、リンクタグを作る際にはあまり入れない方が良いという風潮になってきていました。
なのでここ数か月はリンクタグを作る際はできるだけ「target="_blank"」のタグは入れないようにリンクタグを作っていたのですが、2019年9月に入りASP(アフィリエイトサイトプロバイダー)がこぞって「target="_blank"」のタグを外すという動きが出てきました。
target="_blank"target="_blank"
ASPから届いた「target="_blank"」を外すというメール
ブログ作成時にアフィリエイトリンクを貼る場合、ASPでその記事に関連した広告を選んでリンクタグを貼るわけですが、そのリンクタグには大抵 「target="_blank"」のタグが入っているんですね。
ウェブサイトの閲覧者に対して「target="_blank"」を入れるのはユーサビリティー上好ましくないという風潮があったので、ここ数か月の私はASPのリンクタグの中からわざわざ「target="_blank"」を選択して削除していたわけですが、2019年9月に入り各ASPからのメールで軒並み「target="_blank"」を今後はリンクタグに含みませんとのメールが届いたのです。
まず最初に届いたのがafiB(アフィB) からのメール。
afiB(アフィB) 2019年8月29日
2019年9月4日(水)12時より、afb管理画面で配布するリンクコードについて、
従来リンクコードに含めていた target="_blank" を削除いたします。
※時間は前後する可能性がございます。完了後、管理画面のお知らせ欄でお知らせ致します。
target="_blank"に関しては、パフォーマンスの問題やセキュリティ上の脆弱性などが存在するという情報がございますため削除することとなりました。
ふ~ん。いちいち削除しなくてよくなったから楽でいいね~
くらいに思っていました。
すると9/4~9/5にかけて他のASP2つからも「target="_blank"」を外すというメールが来ました。
A8net 2019年9月4日
▼変更点
広告リンクコードから「target=”_blank”」を削除しました。
▼変更理由
ブラウザのセキュリティ対策強化の過程にて、
新規ウィンドウで広告主サイトを開く際の挙動が
それぞれ異なる事象を確認しております為、
A8.net広告の安定的な計測を担保できるよう上記変更を実施しました。
アクセストレード 2019年9月5日
アクセストレードで取得できるリンクコードに含まれる
「target="_blank"」において、以下を確認しております。
・セキュリティ上の脆弱性
・一部アプリプログラムで正常に広告主サイトへ遷移しない現象
ん???違う会社なのに急に8月終わりから9月頭にかけてASPが同じ対応を取るのっておかしくね?
さすがに3通違う会社なのに同じ対応を取るのって何かあるって思いますよね。他もASPからも来ていたのかもしれません。
3社ともセキュリティー上の脆弱性があるという内容だったので、調べてみました。
target="_blank"target="_blank"
「target="_blank"」の脆弱性とは?
グーグルで 「target="_blank"」を検索窓に入れた時点でサジェストキーワード(こんなキーワードも検索されてます的に出てくる他の検索語句)に
「target="_blank" 脆弱性」
と出てきた。どうやら 「target="_blank"」はユーサビリティー上好ましくないというよりセキュリティー上好ましくないタグのようだ。
を見ると、フィッシング詐欺の手法Tabnabbing(タブナビング)という方法で親元のページが嘘のページ(例えばアマゾンのサイトそっくりに作ったフィッシングサイトなど)に書き換えることが出来るというのだ。(私の知識では理解できていないかもしれませんが、、、)
なんかようわからんけど「target="_blank"」を使うとフィッシング詐欺のサイトに誘導してしまう恐れがあるってことらしい。
8月終わりから9月頭にかけて急に3社が同じ対応をとってきた理由ってなんなんでしょ?
グーグルやらMicrosoftあたりの「お触書」でもでたのかしらん。
なんにせよASPのリンクタグから「target="_blank"」が無くなることは歓迎だけど、今まで過去に作ったサイトとかブログ記事で散々使い倒した「target="_blank"」は大丈夫なんだろうか?
私のリンクから他のサイトに飛んだ後、親ページがフィッシングサイトに書き換えられる恐れとかあるのだろうか?
ガクガクブルブル、、、、、
target="_blank"target="_blank"