見出し画像

短縮URLサービスを理解しよう~事例からセキュリティリスクを読み取る~

SNS上に記載されているURLがやけに短いな、と思ったことはないでしょうか?それには短縮URLが使われていることがあります。
 
短縮URLとは、そのまま「短縮されたURL」のことです。Webサイト上に長いURLを表示すると、画面レイアウトが崩れデザイン性を損なうことがあります。また文字数制限のあるコンテンツでは、長いURLの文字だけで埋め尽くされてしまうかもしれません。これらの解決策として、「正規URLの文字数を減らして短いURLに変換」するサービス、短縮URLサービスが広く利用されています。
 
今回は短縮URLサービスについて、シーイーシーセキュリティオペレーションセンター(CEC SOC)のセキュリティアナリストがお話しします。


短縮URLサービスの概要

短縮URLサービスはどのように利用するものでしょうか。また、どのようなメリットがあるでしょうか。

短縮URLの仕組み

短縮URLを取得するには、短くしたいURL(正規URL)を短縮URLサービスに登録します。すると短縮URLが払い出され、正規URLと短縮URLは、サービスサーバー上のデータベース(サービスDB)に登録されます。

Webサイト上の短縮URLをクリックすると、最初にサービスDBにアクセスします。そして短縮URLに紐づいた正規URLがブラウザーに通知され、ブラウザーは正規URLへアクセスする、という仕組みです。

短縮URLをクリックした際の経路

短縮URLサービス利用のメリット

URLの見栄えの良さだけでなく、サービスによっては、クリック数の計測やアクセスユーザーの分析など、さまざまな情報を提供するものがあります。Webサイト運営者は、それらの情報からどのような層がサイトにアクセスしているかなどを知ることができます。

短縮URLサービスによる事故事例

短縮URLサービスは、残念ながらメリットだけではありません。短縮URLにまつわる実際に起こった事例を2つ紹介します。

【事例1】入会案内のQRコードから不正サイトへ誘導

2023年11月、ネットスーパーの入会案内に掲載されていたQRコードが原因で、入会希望者のクレジットカード情報が抜き取られるという被害が公表されました。
このスーパーが利用していたとみられる短縮URLサービスでは、正規URLへ遷移する際、ページの読み込みを表示する画面(クッションページ)を表示していました。今回の事例は、クッションページ内に表示された広告をクリックすると、スーパーとは無関係の登録画面に遷移するというものでした。誤って広告をクリックした一部のサイト閲覧者が、スーパーの入会登録画面に遷移したと勘違いし、そのまま個人情報を入力してしまったものと思われます。

【事例2】ハッキングによるURL改ざん

2009年、ある短縮URLサービスがハッキングされ、サービスを利用する約200万もの短縮URLが、正規URLとは異なるサイトにリダイレクトされる、という事象が発生しました。
サービス提供社によると、編集機能の脆弱性が悪用され短縮URLが改ざんされたものであり、またある時期からバックアップを取得しておらず、一部の正規URLは消失した可能性がある、と報告されています。
セキュリティソフトウェア会社の調査によると、リダイレクト先のサイトには悪意のあるコードなどは仕掛けられておらず、攻撃者はサイトの脆弱性を示したかっただけのようだ、と説明しています。しかし、攻撃者側がその気になればマルウェア感染サイトへの誘導も容易だった、とも指摘しています。

短縮URLサービスで気をつけること

上記の事例も踏まえ、短縮URLサービスや、短縮URLそのものを利用する際にどのようなことに気をつければよいのか、Webサイト運営者、閲覧者の視点でそれぞれ考察しました。

運営者が気をつけること

  • 短縮URLサービス運営元の利用規約や注意事項をよく読み、信頼に足るか、問題が起きた際に対応してくれるかなどを確認する

  • 正規サイトへの転送時に、広告やクッションページが挟まれないかを確認する

  • 短縮URLサービス運営元がサービスを終了していないか、転送先が勝手に変更されていないか、などを定期的に確認する

閲覧者が気をつけること

  • メールやSNS、広告などに掲載されているURLやQRコードからアクセスした際は、表示されたサイトが目的のものであるか、URLを確認する

  • Webブラウザーからの警告表示を見落とさない

  • 目的のサイトへの転送にクッションページが使われ、そのページに紛らわしい広告が表示されることもあるため、誤ってクリックしないようにする

まとめ

普段何気なくクリックしている短縮URLですが、中には危険なものも存在し、個人情報の抜き取りや、不正サイトへの誘導の可能性があることをお話ししました。しかしながら、短縮URLサービス自体は決して悪いものではありません。便利なサービスを安全に活用できるよう、その裏に潜む危険性と回避策を知り、十分に注意した上で利用することが重要だと考えます。

CEC SOC マネージドセキュリティサービス|マルチベンダー対応可能[Cyber NEXT] (cec-ltd.co.jp)
CEC SOC(Security Operation Center)は「初動対処」「恒久支援」フェーズに対応するセキュリティ運用サービスを提供します。24時間365日体制で監視、異常と判断した際は即座に通報します。調査では必要に応じて周辺装置のログ確認を行い、同一原因による再感染防止の支援を実施します。