公式ウェブサイトを保護するために、詐欺師によって作成された偽ページを検出するための重要なツールをご提供しています。OnePixelは、Axurプラットフォームでフィッシング監視を利用しているすべてのお客様に提供される、こうした攻撃の大多数を効率的に検出するための保護システムであり、監視プロセスの重要な補完要素となります。
OnePixel の仕組み
この仕組みは公式ウェブページに組み込まれ、偽ページをリアルタイムで特定できるようにします。ユーザーからは見えず、パフォーマンスにも影響を与えないスクリプトをウェブサイトのソースコードに追加することで機能します。
⚠️ 重要:このスクリプトは、監視対象とするウェブサイトに貴社が実装する必要があります。
このスクリプトは、HTTPヘッダーの referer フィールドを使用して、あなたのウェブサイトへの接続元を特定します。
OnePixelの理解には、リンクをクリックした際に何が起こるのかを知る必要があります。以下をご覧ください。
ウェブページ上のリンクにアクセスすると、そのリンクの宛先サーバーにリクエストが送信されます。このリクエストには referer というフィールドが含まれており、それはどのページからそのリンクへ移動したのか、つまり遷移元を示します。OnePixelは、どのリンクから公式サイトに遷移したのかを識別します。多くのフィッシング攻撃では、情報を収集した後にユーザーを正規サイトへリダイレクトする手法が用いられるため、この情報は非常に有用です。
さらに、詐欺師が貴社の公式ページのコピー(HTMLの盗用)を作成した場合、OnePixelのコードも偽ページにコピーされます。これにより、攻撃が公開される前に偽ページを特定することが可能になります。
OnePixel を自社サイトに設定する方法
1. Axur プラットフォームの設定ページにアクセス:
[設定] > [統合] > [OnePixel] の順に進んでください。
クライアントごとに一意で変更不可、利用回数無制限のスクリプト:
このスクリプトをウェブページのHTMLソースコードに実装します。</head> タグの直前、または </body> タグの直前に実装するのが推奨されます。エンドユーザーがよくアクセスするすべてのページに定期的に実装してください。
2. HTMLでのインストール:
対象ページのソースコードにアクセスし、</head> タグの直後にスクリプトを追加してください。インストール後は、シークレットウィンドウでアクセスし、F12 キーで開発者コンソールを使ってスクリプトが動作しているか、またはAxurプラットフォームで確認してください。
3. Google Tag Managerでのインストール:
Googleタグマネージャーの Workspace > Tags > New > Tag Configuration にアクセスし、カスタムHTML を選択してコピーしたスクリプトを貼り付けます。次に Triggering で「全ページ」を選択し、設定を保存してください。
このスクリプトは、外部JavaScriptファイルに含めて呼び出すことも可能です。サイト内のすべてのHTMLファイルに組み込むことができますが、特にホームページ、ログインページ、機密データ入力ページへの実装を推奨します。
OnePixel が正しく実装されたか確認する方法
オプション1:
AxurプラットフォームのOnePixel監視設定画面で、スクリプトからの信号を受信しているかを確認します。
オプション2:
HTMLコード内で x-in= を検索するか、ネットワークコンソールで s3-sa-east-1.amazonaws.com を検索します。
オプション3:
まだ見つからない場合でもAxurプラットフォームがインストール済みと表示する場合、Google Tag Managerを使用して確認してください。
制限事項
referrer policyによって、OnePixelでは完全なURLが取得できない場合があります。これは、ユーザーのブラウザやウェブページのポリシー設定により異なります。この実装はコードの盗用を防ぐものではなく、詐欺師がコードを検出して削除することも可能です。
OnePixelが設定されているページがVPNなどにより私的アクセスに制限されている場合、そのページへのアクセス情報は取得できません。ページは公開アクセス可能である必要があります。
注意!Axurプラットフォームでは、現在、最新の監視ページの一覧(最大100件のURL)を表示しており、最新のアクセス順に並んでいます。ページはURLごとに統合されており、同じページに複数回アクセスがあった場合でも、最新の記録のみ1行で表示されます。さらに、Safelist(セーフリスト)に登録されたページもこの一覧に確認目的でのみ表示されますが、チケットは発行されません。
なお、プラットフォームには、過去7日間に受信したOnePixelスクリプトを含むページが表示されます。そのため、スクリプトを本日削除した場合でも、最後のアクセスから最大7日間はプラットフォーム上に表示される可能性があります。ただし、最後のアクセスが7日以上前の場合、スクリプトがまだ存在していても、そのページは表示されません。
Q&A
Q: OnePixelでフィッシング攻撃が検出可能かどうかはどう確認すればいいですか?
A: 実際のフィッシングページに匿名ウィンドウ(Ctrl+Shift+N)でアクセスし、メニューをクリックしたり、偽情報でフォームに入力したりしてみてください。その中で、公式サイトにリダイレクトされる動作が確認できれば、その攻撃はOnePixelで検出可能です。
Q: OnePixelはサイト訪問ユーザーのデータを追跡しますか?
A: いいえ、ユーザーのトラッキングは行いません。
Q: OnePixelを通じて悪意あるコンテンツが読み込まれる可能性はありますか?
A: いいえ、OnePixelは悪意あるコンテンツの配信も、ウェブサイトの編集自動化も行いません。
Q: OnePixelはサイトのパフォーマンスに影響しますか?
A: いいえ、パフォーマンスに一切影響はありません。
Q: 正規ユーザーの追跡に関して法的/プライバシー的に確認すべきことはありますか?
A: いいえ、ユーザーのトラッキングは行っていません。
Q: 何ページまでOnePixelを実装できますか?
A: 必要なだけ、制限はありません。ブランドのメインドメインに、特にヘッダー部分への実装を強く推奨します。
Q: OnePixelを提供された通りに実装するのはなぜ重要ですか?
A: 中にはコードの可読性を高めるためにインデント(整形)を加える方もいますが、これはOnePixelの「目立たない」という特性を損なうことになります。インデントを加えることでコードが目立ち、不正検出を回避される恐れがあります。
ご不明点があれば、いつでも [email protected] までお気軽にご連絡ください 😊