QRコード乗っ取り短縮URL対策

前回の「短縮URLの乗っ取り」に関連してQRコード。
自分で短縮URLを使う場合は、記事の通りの内容で大丈夫でしょう。

でも「いなげや」などはQRコードのURLが改ざんされていたわけです。
たぶんですが、QRコードを作成時に短縮URLに変換されたはずです。

そこで今後は読み取る人も注意する人がふえると思われるので、対策を考えてみました。

全然関係ないけど、寂しいので生成Aでイラストをいれておきますｗ

URLが長いと短縮された

QRコード生成サービスによるのでしょう。
私がいつも使っているところでは短縮URLになっていました。

これでは乗っ取りのリスクもある。
今後、QRコード注意として不明なURLはアクセスしない。
というのが広まると考えられますよね。

ただURLパラメータをつけて１００文字以上だったので、URLとパラメータを短くしてみました。
すると、短縮URLではなく直接ドメインへリンクしてくれました。

これでQRコードによる短縮URL対策はOK。
あとは、QRコードを読み取る人に対しての不信対策ですね。
※QRコードってあぶないらしいよ、という噂がでるかと

たぶんQRコードを読み込んだら、表示されているドメインを確認しましょう。
なんてのが一般的になると思うんですね。

その時に、何を確認すればいいのかわからない。
なのでQRコードの下に、ドメインを表示しておく。

そしてQRコードを読み込んだら、ドメインが同じかどうかをチェックする。
これが読み取り側ができる対策になると思うんですね。

乗っ取り対策をしたQRコードのサンプル

このようにに、短縮URLはつかわない。
QRコードと一緒にドメインも表示しておく。

人の行動としてはこのようになりますね。

• 案内を見た
• 興味をもった
• QRを読み込んだ
• 表示のドメインを確認した
• クリック

もっとも、これでも全体をシールで作られたら破られますが、シールは読まないとなれば安全は確保できます。
そういう意味では、WEBは作る側も使う側も、どんどん知識をアップデートしていかないとですね。

ということで、QRコードがURLが長いと短縮URLになってしまう。
その対策として、URLは短く。不信の払拭のために印刷物にドメイン名を印刷がおすすめです。

短縮URLの乗っ取り被害を安全に避ける方法

いなげや、オートバックス、学習院大学などが短縮URL乗っ取り被害。
ホームページのURLが長いので、短縮URLを利用している人もいるはず。

でもWEB担当者ならば、できるだけ避けたいところです。
被害の実例から対策方法を考えみた。

短縮URLなんて、利用者としてはどうしようもない。
変なページならすぐに閉じちゃうとかでしょうか。

QRコードならば、怪しいドメインをチェック。
といっても怪しさなんてわからないんですよね。

なので短縮URLを提供する側が、しっかりと対策をする。
それができなければ、怪しいままという判断がされるでしょう。

短縮URLの乗っ取り実例

被害の実例を探してみると、特別な事例ではありません。
メジャーな企業なんかでも普通に作成し、普通に掲示や配布をされています。

これを消費者側がチェックするのは難しいでしょうね。

オートバックスのチラシ

これ、「短縮URL」と検索１位だったサービスで改ざんされたとなれば、検索すら信用できませんよねぇ。

「オートバックスのチラシにあるQRコードをスキャンしたらフィッシングサイトに飛ばされた」という報道について、資料をいただいたので簡単に調査しました。今回、問題があったQRコードはURL Redirection Service (いわゆる短縮URL)を利用したものでした。

学習院大学の配布物

【重要】「大学案内2024」掲載二次元コードの不正リンクについて 2023年10月30日 学習院大学 https://univ.gakushuin.ac.jp/news/29309.html

いなげや・店頭ポスター＆チラシ

『ポスター･チラシからQRコードで入会サイトにアクセスした際、予期せぬ不正サイトに誘導する広告が表示されることがあり、クレジットカード情報が抜き取られる被害が発生』 2023年11月9日 株式会社いなげや ネットスーパー入会案内における注意のお知らせ [PDF] https://inageya.co.jp/files/pdf/231109.pdf…

ほか

しくみとして同じなので、ジャンルも企業も関係なく被害にあう恐れがあります。

【ご注意】短縮urlサービスur0[.]bizで始まるアドレスへのアクセスが、現在全く関係ないアプリのインストールを促すサイトに転送される挙動になっています。ご注意ください。

CoinHive URL Shortenerが悪用され、 #Hackedサイトhttp://feedproxy.google.com/~r/TheHackersNews/~3/_mtd78JErIo/coinhive-shortlink-crypto-mining.html… #TheHackerNewsを使用して暗号通貨を秘密裏にマイニング

「短縮URL 乗っ取り」などで検索すると、いろいろでてきますよ。

短縮URL乗っ取りのしくみ

基本的に短縮URLは、あるページから別のページに転送します。
短縮ですから、短いURLを作り、元の長いURLへ転送します。

乗っ取ることで、転送設定した元の長いURLとは違うページ（フィッシング詐欺など）を表示させることができます。

乗っ取りと言っても、原因は複数考えられます。

• アカウントの乗っ取りなどで乗っ取られた
• 最初から悪用目的でサービス提供
• ドメインの更新をせず悪人が利用した

WEB担当者としての対策

被害状況、短縮URLの仕組みを踏まえると、WEB担当者としては対策が考えられます。

URLは短くする

SEOの基本でもありますが、日本語なんかは絶対にやめましょうね。
重要な単語で構成するのがよいでしょう。

このページは、「短縮URLのリスクと対策」を英語化し、「Risks-countermeasures-shortened-URL」としました。もっと短くてもいいですが、内容も入れたいのでこんな感じで。

そもそもURLが長すぎるから短縮URLを使います。
だったらできるだけ短くするのは、現実的な対応です。

自分で転送設定を行う

３０１転送

そうは言っても、いまからURLを変えられないよ。なんて場合。

自分のサイトで短縮URLと同じように、転送をかける。
ちょうど先日の３０１リダイレクトの内容そのものです。

ページのURLを変更したら３０１リダイレクト

ページのURLを変更したら３０１リダイレクトページのURLを変更したら３０１リダイレクト設定を忘れずに。リンクされていたらリンクは無効に。検索に出ていたら、検索順位も水の泡。せっかくの検索評価を失わないようにしましょう。ワードプレスなんかは...

blog-homepage.net

自分のサイト内に、転送用のフォルダでも作る。
そして短いURLのファイルから、長いURLのページへ転送します。

「～.com/aaa.html」 転送→ 「～.com/aaaaaaaaaaaa.html」
「～.com/aaa/」 転送→ 「～.com/aaaaaaaaaaaa/」

ワードプレス

ワードプレスであれば、テーマによって標準機能で転送ができます。
短いURLのページをつくり、そのページから「リダイレクト先」※URLの長いページ
という設定で短縮URLと同じ働きができます。

または、「短縮URLプラグイン」の導入で設定ができます。

短縮URLツール

URLを短縮する機会が多い場合は、専用ツールで対応するのが良いでしょう。
アフィリエイトではおなじみの「短縮URLツール」を自分のサイトに設置するだけ。

数千円程度ですから、短縮URL乗っ取りのリスクを考えれば安いものです。

とくにWEB担当者なら「知らなかった」では済まされない話です。
しっかりと短縮URLでもリスク対策をしましょう。

社長はワードプレスを作るな

経営者や社内のWEB責任者などは、サーバーまわりもざっくりの理解でよいでしょう。
まちがっても、これから始める場合は自分で作業をしてはいけません。

結論としては、プロか詳しい人に頼みましょう。です。

よくあるのが、ワードプレスがもう常識だとよく聞くのでチャレンジしてみたい。
カンタンだと聞くので、自分にもできるだろう。

よし、だったらレンタルサーバーを借りてワードプレスの設定手順を覚えるぞ！
なんてのは、社長・経営者はやらないほうが良いですよ、という話。

この場合の「社長・経営者」は、自分仕事をやった方が生産性が高い人です。
ざっくりとした流れを知っていればOK。

あくまで、社内や組織で数名しか人がいない。
かつちゃんとビジネスがまわっている経営者のような人の場合の話です。

そりゃWEB担当者が３人います！
なら、社内で手順通りに作業できないとマズイでしょうけど。

でも兼任でWEB担当者が１人なんて場合は、やめたほうがいい。
もちろん１人社長でも、辞めたほうがいいと思います。

結論としては、プロに頼みましょう。です。
もしくは詳しい人に頼むに限ります。

その理由を説明しますね。

まずは生成AIの回答

まず一般論はどうなのか？というサンプルのために、chatGPTやBardに「経営者のような立場の人が、レンタルサーバーの契約からホームページ作成をするメリットとデメリットを教えてください。」と聞いてみました。

コスト

初期投資が少ない
レンタルサーバーを契約することで、自社でサーバーを用意する必要がなくなります。そのため、初期投資を抑えることができます。

コストを抑えられる
レンタルサーバーを利用することで、ホームページの作成・運用にかかるコストを抑えることができます。また、レンタルサーバーによっては、ホームページ作成に必要なツールやサービスを提供している場合もあります。

コストの節約:
レンタルサーバーを利用することで、自社でサーバーを保有するよりも初期投資やランニングコストを削減できます。特に小規模なビジネスにとっては、経済的な選択肢となります。

安く済むよ！なのですが、スキルがあればね、の話です。
その知識を探してスキルを獲得するコストは、含まれていません。

中小企業の社長が１か月かかって、サーバーと契約してワードプレスをインストールできた！
って、これ社長の仕事じゃ生産性が低すぎでしょ！

社長の役員報酬を考えたら、どう考えてもバカバカしいです。
いや、新卒で手取り１５万円でもアホらしい。

機能面

柔軟性と選択肢の拡大:
レンタルサーバーはさまざまなプランやオプションを提供しています。ビジネスの成長に合わせて容量や機能を拡張でき、柔軟に選択できます。

プランやオプションを選べるけど、選ぶ基準はわかりませんよね？
私が最初のころ、サーバーのIDすら迷います。「レンタルサーバーのサブドメインとして使えます」
なんて説明されても、その説明の意味すらわかりませんでした。

柔軟性があり、自由度が高い ＝ 自分で全体設計を考える能力が必要

たとえばレゴブロックでお城をつくるとします。

アップデートと保守の簡略化:
サーバーのアップデートや保守作業は、一般的にサーバープロバイダーによって行われます。これにより、経営者は自社での作業に費やす時間を減らし、本業に専念できます。

確かにWPの自動アップデートで今はラクチンです。
でも、あるときに意味不明なメッセージが表示。

調べたらphpのバージョンが古くてエラーがでた。
なんてあるんですね。　これってサーバーからの設定が必要です。

ほかにもSSL設定が起きたりなんてのも
まぁ、いろいろ要対応なことがでてくるからです。

必要な機能をプラグインで容易に追加可能

その通り！ワードプレスはプラグインが豊富！
でも、何を入れるべきなのか？いれないべきなのか？

これを明確にできる人って、相当な経験がないと迷います。
でも最低限のセキュリティだったりバックアップ。

必要に応じてキャッシュなどの高速化くらいは、必要ですよね。
でもじゃぁその中でどのプラグインが良いのか？設定は？

などなど最低限の機能すら、なかなか迷うべき問題だったりします。
私も数年はチンプンカンプンでしたから。

あとは高望みしすぎてプラグインを入れすぎ。
ショッピングカートに会員制サイトもプラグインで運営
プラグインは特殊で需要がなく、アップデートされなくなる。

WP本体やphpのバージョン、他のプラグインとバッティングして動作不可とか。

セキュリティやバックアップはレンタル事業者が管理

サーバーのセキュリティはそうだけど、ワードプレスのセキュリティはこちらの責任。
ログインURLが/wp-admin/　のフォルダのままなんて、WEB制作会社でもありますから。

バックアップなんかは、サーバーがとっててくれるのもあります。
でも戻し方はわかりませんよね。

データベースのバックアップがあるらしいけど、DBってなんだ？？？
となることは確実です。

経験にならない

WEBで実践経験は大切。
でもこの作業は、社長・経営者の場合はほとんど経験にならないのです。

理由は、多くの場合最初の１回の作業だから。
人生で１回だけかも知れません。

そんな作業のために、時間を割いて勉強をしてもムダだと思いませんか？
仮に１年後にもう１度やることになったとしても、忘れてます。

覚えていたとしても、管理画面が変更されていたり。
必要な設定も増えていたり。

社内の担当者なら、この条件でもアリかもしれません。
でも担当者が辞めたりしたら社内のWEBの知識がドボンです。

「開発」はまかせて「運営」をやるべき

サーバーを借りてワードプレスをインストールして設定する。
これらは、器をつくる「開発」です。

そして作ったワードプレスのコンテンツを作ったり、SEO対策をするのが「運営」です。
一般的にシステムでは「運営」ではなく「運用」と言いますが、「運営」をおすすめします。

「運用」の場合はシステムのみの話。
「運営」はシステム以外も含みます。

サーバーやワードプレスというシステムではなく、記事を書いたり、リンクをもらうなどの行動ですね。
そのために、ワードプレスの投稿方法は学んだ方が良いことです。

いまどきならcanvaくらいは使って、軽く画像の文字入れくらいはやりたいところ。

記事を書くといっても、キーワード選定から。
そうなるとターゲットにペルソナ決めて、テーマを決める必要があります。

役に立つ記事を書いたり、必要に応じてリスト獲得やSNSにリソースを使いましょう。

ワードプレスの設定なんて誰がやっても同じです。
※プロもピンキリだったりしますが・・・

経営者なら、自分の価値が発揮されることにリソースを使いましょう。
インストールくらいならココナラとかランサーズでも５０００円程度。

さっさと「運営」の実践をしながら、出てきた疑問を解決していった方が良いですよ。
もちろんコストをかけられるなら、セミナーやコンサルもありでしょう。

あくまで自分しかできないことを放置して、誰でもできる作業なんかしてる場合じゃないのです。
自社、自分のビジネスの「運営」を行いましょう。

あなたのパスワードは？
これ2012年の元データらしいけど、あなたのパスワードはどのタイプ？

総当たり攻撃時のパスワード最大解読時間の表を日本語化した。https://t.co/cVSNUZkAKv pic.twitter.com/rtS8ixwOqi

— Sen UENO (@sen_u) August 17, 2021

ちなみに私が推奨する最強のパスワードは、５年。
総当たりで５年なら十分でしょ～。
もちろん今はもっと処理速度速いよ！ってのもあるでしょうけど、一定数だとロック！や二段階認証などもあるので、かなり強いことには間違いない。

その「数字」＋「英小」＋「英大」＋「記号」。
それもサイトごと、なのに忘れない！（たぶん）という最強のパスワードの作り方はこちら。

セキュリティのためにサイトごとに違うので、自分は忘れにくい。
そんなパスワードを考えてみました。

通常はパスワード自動生成サイトなどでランダムに作りますよね。

でもそれだと、メモがなくないとわからない、スマホでやるとわからない、パソコンが変わると記録されていないなどの問題が発生します。

そこで最強パスワード（仮）の作り方を説明したいとおもいます。
※あくまで個人の感想です

パスワード作成の基本

注意点としてこのようなポイントがありますよね。

• 情報流出のリスクを考えてサイトやアプリごとに変える
• 他人に推測されにくいように
• 自分が忘れないように

なんて言われます。

でも自分が分かるのと他人が分かるのって、トレードオフじゃないですか。矛盾していますよね。　かつサービスごとに変えるって、無理ゲーです。

まぁパソコンだったらメモ帳やエクセルで管理すればいいけど、スマホで使うときにわからなくなったり。

そこで、あくまで個人的に最強だと思うパスワードの作り方を提案します。

最強のパスワード（仮）

ドメインなどを利用して、自分の数字を含めてつくる。です。
ドメイン＋自分のワードで８文字～がおすすめです。

なんのこっちゃ？ですよね。説明していきます。

たとえばYahoo!のトップページです。Yahoo!自体にログインはないのですが、サンプルで。※ヤフーメール、ヤフオクは別ページなので

パスワードのルールを決める

まず、【パスワードのルールを決める】のです。

たとえば、ドメイン名は逆に４文字。
自分のワードは、「momO96」だとします。

大文字を含む英数字、今回は最後を大文字にしました。
これで１０文字ですね。

ドメインなど

ドメインはサイトのURLなどにつかわれているものですね。

たとえばYahoo!ならば、こう表示されています。
「yahoo.co.jp」がドメインです。

ここの「yahoo」を使います。※co.jpは法人だと共通なので。

自分のワード

上で決めたように、「momO96」。
もちろんここは、あなたが決めるところです。

携帯番号のお尻から４文字＋大文字「Ａ」とかです。
※大文字が必要なのは、大文字必須の場合があるからです。

パスワード完成

決めたルールで、ドメイン＋自分のワードです。
これでパスワードが完成させてみましょう。

「yahoo.co.jp」なら、

yahooの逆から４文字　＝　「ooha」
自分のワード　＝　「momO96」

となります。

つまりこれ、サイトやサービスごとにパスワードが違うのです。
どっかからIDパスワード情報が流出しても、そこだけの被害で済みます。

かつ、パスワードのヒントはサイトに表示されているわけですね。

応用編

ドメイン名の文字数は順序を変える。

yahooならば３文字目から５文字使う、とかですね。
その場合、「hooya」です。

２文字目から１つ飛ばしで６文字使う。
なんて複雑にすれば「aoyhoa」ですね。

自分のワードなら、記号も含まれて売ると神ですね。
「B*9696」だと、大文字B＋*＋自分の番号とか。

例：誕生日を逆にして、前後に大文字＋記号

「S2130/」
※昭和の大文字「S」03/12生まれの逆＋「/」

複雑なようですが、共通なのであっさり覚えられます。
またメモ書きしても、パスワードではなく１つのルールを書いておけば秘密を守れます。

まとめ

このように独自ルールを決めてパスワードをつくると、究極のパスワードを作ることができる！かも？

• パスワードのルールを決める（番号＋ドメイン＋記号＋英大など）
• ドメイン名を利用する（３つめから５文字など）
• 自分のワードを工夫する（数字など）

さすがに電磁波盗聴とか、パスワード表示ツールとかだとバレてしまうわけですが、それは複雑にしてもおなじことですからね。

この最強パスワードの作り方、いかがでしょう？

常時SSLが解除

あれ！手持ちのブログの１つが、「保護されていない通信」の警告表示が・・・ なんで！？

SSL証明書のトラブルなのか、サーバーの期限が切れたのか。再設定をするも変わらず。

つまり、ちゃんと　https:～　になっているんい、「保護されていない通信」の警告のまま。　つまり常時SSL接続になっていないんです。

httpでの画像のリンクはNG

以前、画像の内部リンクでもhttpだと、この状態になると教えてもらった。その時にサイドバーのプロフィール画像を修正して解決。なのに再び。

じゃぁほかのhttp:～リンクはないか？と探すと、昔のブログランキングのタグが。３年くらい前だとまだSSL化できてないサイトってありましたもんね。

ところが違った。

原因はアフィリエイトリンク

アフィリリンクそのものじゃなく、その中でカウンタ用にimgの画像タグが。結局は画像のリンクかい・・・

ただ、今後は画像もダメになる予定です。

現在（2020/03/06）だと最新版のGoogleChromeは、80。「Google Chrome 80」です。

httpsサイトからhttpサイトの

・Script
・iframe

は、ブロックされて読み込みません。　httpサイトの情報は扱えなくしています。

また、

・音楽ファイル
・動画ファイル

の場合は、httpsに変換して読み込みますが、httpsで読めなければブロックします。

81以降はhttpの画像もブロック

そして次のChromeversion 81 以降からは、画像も音楽と映像と同じ対応になる予定です。

つまりもうhttpのサイトは存在自体が、リスクとして認識されているわけですね。

さすがに最近のブログやホームページは、SSL化されてhttps～になっています。
でも古いテンプレートなどの内部リンク、昔貼ったほかのサイトの外部リンクなどは書き換えておきましょう。

混在ダウンロードとは

「https」のサイトの中で、ダウンロード先のファイルが「http」だったりする場合です。「https」と「http」が混在していると。

2020年4月から段階的にダウンロードができなくなります。

つまりさっさとセキュリティ対策をして「https:」（SSL化）しろってことですね。

Google Chrome、4月から混在ダウンロードの禁止を開始https://t.co/XYYH7gBrPr#Chrome　#セキュリティ

— ブログホームページが収入になる作り方 (@blog_homepage) February 12, 2020

最近のHPだともう「https:～」でしょう。

ホームページやブログでも2015年くらいから、徐々にSSL化がされています。できていない場合は、設定するかプロに依頼した方がよさそうですね。

ちょっと遅いんじゃない？なんても思いますが、いえいえいえ、ありがとうございます！

設定も１クリック

【設定】→【HTTPS配信】から設定できます。

注意点

・以前に設定したサーチコンソールは、機能しなくなるため再登録が必要となります。
・FB等のイイネは、既存のカウントがクリアされ0からとなります。
・記事などの内容によってはmixed content（混在コンテンツ）警告が表示されます。またCSSやHTMLをカスタマイズしている場合にも、同様に警告が表示される可能性があります。
・その他、httpを前提としている外部サービスとの連携を主として、予期せぬ影響が生ずる可能性があります。

よく分からないかもしれませんが、そういうことです。
これらはほかのサービスやブログ、ワードプレスでも同じですん。

なにより、SSL化はセキュリティの問題なので選択の余地はありません。

「設定する」を選んで「ポチ」とクリックでＯＫ。

エンドポイント

エンドポイントも変更なります。
※APIまで利用されてる方

○SSL対応のエンドポイント
https://ssl.seesaa.jp/blog/rpc

×SSL非対応のエンドポイント（利用できなくなります）
https://blog.seesaa.jp/rpc

Autoposterの設定だとこういうところですね。

<a href=”https://www.infotop.jp/click.php?aid=24995&iid=44125″>【ブログ自動投稿ツール AutoPoster マンスリーメンバー（1ヶ月会員）】</a>

ということで、安心してシーサーブログを使いましょう！

偽のサイトにアクセスしようとしています

これはとても強いメッセージですね。

GoogleChrome（ブラウザ）によるフィッシングサイトへの警告のようです。
ただこのサイト、ほぼ毎日閲覧しているので(アフィリア)サイト自体は問題ない。

なので・・・
サーバーがらみでGoogleのフラグに引っかかったんでしょうね。

SSL化もしてありますし、まだhttp://～でも、ここまで強いメッセージはでませんから

ありがちなのは、共有サーバーでほかのユーザーが悪さをした場合。
迷惑メールのサーバーと同じような評価を受けてしまうんですね。

そこでサーバーを調べてみると「「*.ptrcloud.net」」。
これはGMOクラウドでした。

こうなるとクラウド運用でのシステム構築にかかわるので、ちょっとわからん・・・

ちなみに、今の状態で問題がないのであれば、Googleに連絡するフォームから依頼するんだそうな。

まぁ普通のホームページとは違って、大量ユーザーの動的サイト。
いろいろと作りの面でも高度な対応が求められますからね。

ユーザーが悪意あるWebページにアクセスすると攻撃者にPCを乗っ取られる恐れがある。米国土安全保障省も公式サイトでアップデートを呼び掛けている。

ファイアフォックス バージョン確認

ファイアフォックスのVerが「67.0.3」なら大丈夫です。

バージョンの確認方法は、

・ Fire foxを起動　→　右上のメニュー「三」を選択
・ 「ヘルプ」→「Fire foxについて」を表示
・画面内の「再起動して更新」を選択

もう一度

・ Fire foxを起動　→　右上のメニュー「三」を選択
・ 「ヘルプ」→「Fire foxについて」を表示してVerが「67.0.3」ならOK！

これだけ普及しても乗っ取りまであり得るとは。　セキュリティって常に対応が必要ですね。

URLをチェックしろと。

httpは×、http【s】なのと鍵マークをチェックしろと。

かんたんに言うと、データの暗号化をしているかどうか。
そんなのもできてない企業のサイトは危険だぞと。

正直びっくり！です。

新聞のようなマスメディアで、こんな専門的（？）な話が普通に語られるなんて。

この先には、でもSSLは無料でできるので、詐欺サイトも利用する。
だからやっぱり、怪しいサイトへアクセスしないように。という記事なんですね。

そう、SSLだけなら無料でできるのはもう常識。
ただこんなことが新聞で大きく記事なるとは・・・

社長なんかがSNSに熱心なのに、会社のホームページはSSL化できてない。
そんな笑えない事例もあるので、気をつけてくださいね。

SSLは、新聞の記事になるくらい一般的な常識ですよ。