管理しているホームページの作成したばかりのページを見た人から「このサイトは安全ではないサイトとして報告されています」と赤い画面(ここではRed screenと表記)が表示されるとの知らせがあった。

検索してみると同様の事象が インターネットブラウザMicrosoft Edge(Edge)で発生しているので自分のパソコンのEdgeで該当ページを表示させてみると同様の事象が再現した。

このサイトは安全ではないサイトとして報告されています
ホスト元: xxxxxxxxx
このサイトには移動しないことをお勧めします。この Web サイトには、個人情報や金融情報を盗み取ろうとする可能性のあるフィッシングの脅威が含まれていると Microsoft に報告されています。

全く身に覚えのない、単純に自分で撮った画像を紹介するページである。どこが危険なのか分からない。

Red screenの「詳しい情報」から 「このサイトにフィッシングの脅威が含まれていないことを報告」をclickするとMicrosoft(MS)への通信欄があってWebサイトの管理者用に「私はこの Web サイトの管理者あるいは代表者であり、この Web サイトについての誤った警告について報告します」との項目がありチェックすると、
　名前: メールアドレス: 住所: Web サイトで収集したすべての個人情報を指定してください: Web サイトで個人情報を収集する理由を指定してください:　.......
　 などの記入項目が出てきた。この画面自体フィッシングではないかと疑い念の為検索してみるとフィッシングではないらしい。
　個人情報など収集はしていない。強いていえばメールを受けるようにしているが、任意である。記入して送信した。

まもなくMicrosoft SmartScreen から次のメールが帰ってきた。これまでの経験からこの手の問い合わせについてMicrosoftからまともな回答が返ってきたことはなかったので、Microsoftも変わったのかと驚いた。

Thank you for contacting us about https://xxx.yyy.zzz.html.

We have received the information you provided and are currently reviewing it. If it is determined that the current designation is incorrect or no longer accurate the warning will be removed.

We typically expect to take 24 hours for our investigation. During the investigation, you may not see changes to the status of your site. If the status of your site has not changed after 24 hours, please contact us with a reply to this message. Please do not change the subject when replying.

You can find additional information by reviewing the Microsoft Defender SmartScreen Overview - https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-smartscreen/microsoft-defender-smartscreen-overview.

Thank you,
Microsoft Defender SmartScreen® Support
Reference: aaaaaaaa-bbbb-ccc

Microsoft respects your privacy. To learn more, please read our online privacy statement - http://go.microsoft.com/fwlink/?LinkId=81184.=

予想したとおり24時間経過しても何も変わってなく、2日後に変化なしとのメールを返したがその後も無応答........。

ネットで検索すると同様のケースで同じ様に返答がなかったというのが多い。多分有償の電話サポートでの対応であれば調査してくれると思うが、身に覚えのない言いがかりに金を支払うのも不愉快なので、以下に自分で対処したことを記録する。

該当ページはかなり前から使用しており、新しい項目を追加してゆくようになっている。今回追加した中で今までと異なる点はTop pageへのリンクを加えたので、EdgeでTop pageを表示し右clickして「 開発者ツール(DevTools)で調査する」から検査項目のセキュリティタグを選ぶと赤いアイコンで　「Response should include 'x-content-type-options' header X エラー」と表示されている。同様に該当ページにも警告が出ている。

Red screenがでるのはこのエラーが原因なのかは不明だが、少なくても開発者ツールで検証してエラーがないものを危険だとするのは開発者ツールの意味がないことになる。

IE８以降とEdgeはブラウザが取り扱うメディアを拡張子で判断するのではなくHTMLと誤認する場合があるという。これに乗じて悪意あるハッカーが画像ファイルなどにHTMLのリンクなどを組み込み他の有害サイトに誘導したりデータを盗み取ることがある。これをクロスサイトスクリプティング（XSS）という。10年ほど前に実際にテストしたサイトがあった。

もう少し詳しく述べるとEdgeでurlを閲覧する場合、サーバーから送られてくるメディア情報が不明確な場合などにEdgeはメディアの種類を推測することがあるため意図的に仕組まれる危険がある。X-Content-Type-Options nosniffとは推測はしないという指定。余計な推測はしないでブランクとかエラーにするものと思われる。sniffingとは匂いを嗅ぐ、という意味でネットワークを流れるデータを捕らえ、内容を解析して盗み見ること。

実際の解決方法としては .htaccessファイルにHeader set X-Content-Type-Options nosniff と記述しサーバーの該当フォルダーに設置する。これでエラー表示はなくなった。

他のブラウザでも同じような開発者toolが用意されており以前からChromeのブラウザでは検査しているが、セキュリティのエラーはでなかった。Microsoft のブラウザがこのような警告を出すのは自らが仕様を変えずにクライアントに指定させるのではないかとは思うが、いずれにしてもこれを標準として他のブラウザも処理することになるかもしれないので指定することにした。

Edgeの開発者ツールで他のサイトをセキュリティ項目で検証してみると、大手の企業系などのサイトは対策が施されているらしくResponse should include 'x-content-type-options' header エラーは出ないようだが、同じエラーが出るサイトはたくさんある。多くの人が閲覧すると思われる新聞社のサイトでも開発者ツールでの検証で警告表示がでているのもあるがいずれも今回のような最初のurlを開くだけでのRed screenにはならない。

そして一度危険なサイトとして登録されると中身をただのダミーのhtml文に変えて、履歴やクッキーを削除しても危険なサイトのRed screenは相変わらず出る。

urlを移して問題なく閲覧できた。元のurlもしばらく放置しておいたら、Red screenは出なくなった。

自分のホームページの何千ページの中で今回のRed screenがどういう理由でここだけ表示されたか説明がないので不明だが他にも条件があるように思う。またこの指定はセキュリティ対策の一つに過ぎず、ほかにも多くの対策がネットに載っているが、とりあえず開発者ツールのセキュリテイ検証で赤いアイコンのエラーにならないようにした。

「Microsoft Edge」は幅広いセキュリティ機能を備え、従来の「Internet Explorer」よりも安全性を高めたというが、反面、過度にガードしており使いにくいと以前から思っていた。そのこともあってメインブラウザはChromeにしており今回のことで益々その気持は強まった。

EdgeでChromeをダウンロードしようとすると、再考を促すような小ウインドウが出る。Microsoftの焦りを感じさせる。

参考 1).
　Microsoft : Reducing MIME type security risks

参考 2).
　ブラウザの世界シェア