先日、ネットセキュリティのエンジニアと話していた時のこと。あるエンジニアが、こんなことを言いました。
「短縮アドレスって、あるでしょう。あれが悪用されるケースが増えてるんですよ」
短縮アドレスは、一般に短縮URLと呼ばれています。ツイッターなどSNSでのコミュニケーションやメールでやり取りをする時、長いURL=アドレスだと文字数の制限に引っかかったり文章が長くなってしまうため、10文字前後の文字列に変換してくれるサービスです。
知らずに「アクセス不能攻撃」に加担してしまうことも
SNSで便利に使われている短縮URL
とても便利なサービスですが、どのように悪用されているのでしょうか?
「短縮して表示されたアドレスをクリックすると、元の長いアドレスへリンクされたウェブページにいったん飛ばされ、そこから目当てのページに再度飛ばされるんです。つまり、3人でキャッチボールをやっているようなもので、A(=クリックしたユーザー)からいったんBにボールを投げ、Bが目当てのCにボールを投げる、と。このときに、BがCではなくDにボールを投げていたとしても、クリックしたユーザーはすぐには気づきません」
そこで、本物を装った偽サイト(=D)へ誘導して、個人情報を抜き取るフィッシング詐欺に利用されるケースが目立っているそうです。
URLが長いままであれば、企業や個人の名前など訪問したい先かどうか確認することができる要素が含まれています。しかし短縮URLではその部分が適当な文字列に変えられているため、注意のしようがないという部分を悪用しているのです。
また、途中のBが勝手にボールを2つに分けてしまい、CだけでなくEにもアクセスしたことにしてしまう、というのもあるのだとか。
「この場合、クリックしたユーザー(=A)はCとE両方のサイトにアクセスしたことになるわけですが、怖いのはEがどこかのサイトを攻撃するために、わざわざつくられたものである時です」
