PR

短縮URLの乗っ取り被害を安全に避ける方法

トラブル

短縮URLの乗っ取り被害を安全に避ける方法

いなげや、オートバックス、学習院大学などが短縮URL乗っ取り被害。
ホームページのURLが長いので、短縮URLを利用している人もいるはず。

でもWEB担当者ならば、できるだけ避けたいところです。
被害の実例から対策方法を考えみた。

 

短縮URLなんて、利用者としてはどうしようもない。
変なページならすぐに閉じちゃうとかでしょうか。

QRコードならば、怪しいドメインをチェック。
といっても怪しさなんてわからないんですよね。

 

なので短縮URLを提供する側が、しっかりと対策をする。
それができなければ、怪しいままという判断がされるでしょう。

 

 

短縮URLの乗っ取り実例

被害の実例を探してみると、特別な事例ではありません。
メジャーな企業なんかでも普通に作成し、普通に掲示や配布をされています。

これを消費者側がチェックするのは難しいでしょうね。

 

 

オートバックスのチラシ

これ、「短縮URL」と検索1位だったサービスで改ざんされたとなれば、検索すら信用できませんよねぇ。

「オートバックスのチラシにあるQRコードをスキャンしたらフィッシングサイトに飛ばされた」という報道について、資料をいただいたので簡単に調査しました。今回、問題があったQRコードはURL Redirection Service (いわゆる短縮URL)を利用したものでした。

 

 

学習院大学の配布物

【重要】「大学案内2024」掲載二次元コードの不正リンクについて 2023年10月30日 学習院大学 https://univ.gakushuin.ac.jp/news/29309.html

 

 

いなげや・店頭ポスター&チラシ

『ポスター・チラシからQRコードで入会サイトにアクセスした際、予期せぬ不正サイトに誘導する広告が表示されることがあり、クレジットカード情報が抜き取られる被害が発生』 2023年11月9日 株式会社いなげや ネットスーパー入会案内における注意のお知らせ [PDF] https://inageya.co.jp/files/pdf/231109.pdf…

 

 

ほか

しくみとして同じなので、ジャンルも企業も関係なく被害にあう恐れがあります。

【ご注意】短縮urlサービスur0[.]bizで始まるアドレスへのアクセスが、現在全く関係ないアプリのインストールを促すサイトに転送される挙動になっています。ご注意ください。

 

 

CoinHive URL Shortenerが悪用され、 #Hackedサイトhttp://feedproxy.google.com/~r/TheHackersNews/~3/_mtd78JErIo/coinhive-shortlink-crypto-mining.html… #TheHackerNewsを使用して暗号通貨を秘密裏にマイニング

「短縮URL 乗っ取り」などで検索すると、いろいろでてきますよ。

 

短縮URL乗っ取りのしくみ

基本的に短縮URLは、あるページから別のページに転送します。
短縮ですから、短いURLを作り、元の長いURLへ転送します。

乗っ取ることで、転送設定した元の長いURLとは違うページ(フィッシング詐欺など)を表示させることができます。

乗っ取りと言っても、原因は複数考えられます。

  • アカウントの乗っ取りなどで乗っ取られた
  • 最初から悪用目的でサービス提供
  • ドメインの更新をせず悪人が利用した

 

 

WEB担当者としての対策

被害状況、短縮URLの仕組みを踏まえると、WEB担当者としては対策が考えられます。

URLは短くする

SEOの基本でもありますが、日本語なんかは絶対にやめましょうね。
重要な単語で構成するのがよいでしょう。

このページは、「短縮URLのリスクと対策」を英語化し、「Risks-countermeasures-shortened-URL」としました。もっと短くてもいいですが、内容も入れたいのでこんな感じで。

そもそもURLが長すぎるから短縮URLを使います。
だったらできるだけ短くするのは、現実的な対応です。

 

自分で転送設定を行う

301転送

そうは言っても、いまからURLを変えられないよ。なんて場合。

自分のサイトで短縮URLと同じように、転送をかける。
ちょうど先日の301リダイレクトの内容そのものです。

自分のサイト内に、転送用のフォルダでも作る。
そして短いURLのファイルから、長いURLのページへ転送します。

「~.com/aaa.html」 転送→ 「~.com/aaaaaaaaaaaa.html」
「~.com/aaa/」 転送→ 「~.com/aaaaaaaaaaaa/」

 

ワードプレス

ワードプレスであれば、テーマによって標準機能で転送ができます。
短いURLのページをつくり、そのページから「リダイレクト先」※URLの長いページ
という設定で短縮URLと同じ働きができます。

または、「短縮URLプラグイン」の導入で設定ができます。

 
 

短縮URLツール

URLを短縮する機会が多い場合は、専用ツールで対応するのが良いでしょう。
アフィリエイトではおなじみの「短縮URLツール」を自分のサイトに設置するだけ。

数千円程度ですから、短縮URL乗っ取りのリスクを考えれば安いものです。

とくにWEB担当者なら「知らなかった」では済まされない話です。
しっかりと短縮URLでもリスク対策をしましょう。