短縮URLをクリックしたら「個人情報」を抜き取られる?

富士フイルムが開発した糖の吸収を抑えるサプリが500円+税で

   先日、ネットセキュリティのエンジニアと話していた時のこと。あるエンジニアが、こんなことを言いました。

「短縮アドレスって、あるでしょう。あれが悪用されるケースが増えてるんですよ」

   短縮アドレスは、一般に短縮URLと呼ばれています。ツイッターなどSNSでのコミュニケーションやメールでやり取りをする時、長いURL=アドレスだと文字数の制限に引っかかったり文章が長くなってしまうため、10文字前後の文字列に変換してくれるサービスです。

知らずに「アクセス不能攻撃」に加担してしまうことも

SNSで便利に使われている短縮URL
SNSで便利に使われている短縮URL

   とても便利なサービスですが、どのように悪用されているのでしょうか?

「短縮して表示されたアドレスをクリックすると、元の長いアドレスへリンクされたウェブページにいったん飛ばされ、そこから目当てのページに再度飛ばされるんです。つまり、3人でキャッチボールをやっているようなもので、A(=クリックしたユーザー)からいったんBにボールを投げ、Bが目当てのCにボールを投げる、と。このときに、BがCではなくDにボールを投げていたとしても、クリックしたユーザーはすぐには気づきません」

   そこで、本物を装った偽サイト(=D)へ誘導して、個人情報を抜き取るフィッシング詐欺に利用されるケースが目立っているそうです。

   URLが長いままであれば、企業や個人の名前など訪問したい先かどうか確認することができる要素が含まれています。しかし短縮URLではその部分が適当な文字列に変えられているため、注意のしようがないという部分を悪用しているのです。

   また、途中のBが勝手にボールを2つに分けてしまい、CだけでなくEにもアクセスしたことにしてしまう、というのもあるのだとか。

「この場合、クリックしたユーザー(=A)はCとE両方のサイトにアクセスしたことになるわけですが、怖いのはEがどこかのサイトを攻撃するために、わざわざつくられたものである時です」
井上トシユキ
1964年、京都市出身。同志社大学文学部卒業(1989)。会社員を経て、1998年よりジャーナリスト、ライター。東海テレビ「ぴーかんテレビ」金曜日コメンテーター。著書は「カネと野望のインターネット10年史 IT革命の裏を紐解く」(扶桑社新書)、「2ちゃんねる宣言 挑発するメディア」(文藝春秋)など。
姉妹サイト