短縮URLの乗っ取り被害を安全に避ける方法

いなげや、オートバックス、学習院大学などが短縮URL乗っ取り被害。
ホームページのURLが長いので、短縮URLを利用している人もいるはず。

でもWEB担当者ならば、できるだけ避けたいところです。
被害の実例から対策方法を考えみた。

短縮URLなんて、利用者としてはどうしようもない。
変なページならすぐに閉じちゃうとかでしょうか。

QRコードならば、怪しいドメインをチェック。
といっても怪しさなんてわからないんですよね。

なので短縮URLを提供する側が、しっかりと対策をする。
それができなければ、怪しいままという判断がされるでしょう。

短縮URLの乗っ取り実例

被害の実例を探してみると、特別な事例ではありません。
メジャーな企業なんかでも普通に作成し、普通に掲示や配布をされています。

これを消費者側がチェックするのは難しいでしょうね。

オートバックスのチラシ

これ、「短縮URL」と検索１位だったサービスで改ざんされたとなれば、検索すら信用できませんよねぇ。

「オートバックスのチラシにあるQRコードをスキャンしたらフィッシングサイトに飛ばされた」という報道について、資料をいただいたので簡単に調査しました。今回、問題があったQRコードはURL Redirection Service (いわゆる短縮URL)を利用したものでした。

学習院大学の配布物

【重要】「大学案内2024」掲載二次元コードの不正リンクについて 2023年10月30日 学習院大学 https://univ.gakushuin.ac.jp/news/29309.html

いなげや・店頭ポスター＆チラシ

『ポスター･チラシからQRコードで入会サイトにアクセスした際、予期せぬ不正サイトに誘導する広告が表示されることがあり、クレジットカード情報が抜き取られる被害が発生』 2023年11月9日 株式会社いなげや ネットスーパー入会案内における注意のお知らせ [PDF] https://inageya.co.jp/files/pdf/231109.pdf…

ほか

しくみとして同じなので、ジャンルも企業も関係なく被害にあう恐れがあります。

【ご注意】短縮urlサービスur0[.]bizで始まるアドレスへのアクセスが、現在全く関係ないアプリのインストールを促すサイトに転送される挙動になっています。ご注意ください。

CoinHive URL Shortenerが悪用され、 #Hackedサイトhttp://feedproxy.google.com/~r/TheHackersNews/~3/_mtd78JErIo/coinhive-shortlink-crypto-mining.html… #TheHackerNewsを使用して暗号通貨を秘密裏にマイニング

「短縮URL 乗っ取り」などで検索すると、いろいろでてきますよ。

短縮URL乗っ取りのしくみ

基本的に短縮URLは、あるページから別のページに転送します。
短縮ですから、短いURLを作り、元の長いURLへ転送します。

乗っ取ることで、転送設定した元の長いURLとは違うページ（フィッシング詐欺など）を表示させることができます。

乗っ取りと言っても、原因は複数考えられます。

• アカウントの乗っ取りなどで乗っ取られた
• 最初から悪用目的でサービス提供
• ドメインの更新をせず悪人が利用した

WEB担当者としての対策

被害状況、短縮URLの仕組みを踏まえると、WEB担当者としては対策が考えられます。

URLは短くする

SEOの基本でもありますが、日本語なんかは絶対にやめましょうね。
重要な単語で構成するのがよいでしょう。

このページは、「短縮URLのリスクと対策」を英語化し、「Risks-countermeasures-shortened-URL」としました。もっと短くてもいいですが、内容も入れたいのでこんな感じで。

そもそもURLが長すぎるから短縮URLを使います。
だったらできるだけ短くするのは、現実的な対応です。

自分で転送設定を行う

３０１転送

そうは言っても、いまからURLを変えられないよ。なんて場合。

自分のサイトで短縮URLと同じように、転送をかける。
ちょうど先日の３０１リダイレクトの内容そのものです。

ページのURLを変更したら３０１リダイレクト

ページのURLを変更したら３０１リダイレクトページのURLを変更したら３０１リダイレクト設定を忘れずに。リンクされていたらリンクは無効に。検索に出ていたら、検索順位も水の泡。せっかくの検索評価を失わないようにしましょう。ワードプレスなんかは...

blog-homepage.net

自分のサイト内に、転送用のフォルダでも作る。
そして短いURLのファイルから、長いURLのページへ転送します。

「～.com/aaa.html」 転送→ 「～.com/aaaaaaaaaaaa.html」
「～.com/aaa/」 転送→ 「～.com/aaaaaaaaaaaa/」

ワードプレス

ワードプレスであれば、テーマによって標準機能で転送ができます。
短いURLのページをつくり、そのページから「リダイレクト先」※URLの長いページ
という設定で短縮URLと同じ働きができます。

または、「短縮URLプラグイン」の導入で設定ができます。

短縮URLツール

URLを短縮する機会が多い場合は、専用ツールで対応するのが良いでしょう。
アフィリエイトではおなじみの「短縮URLツール」を自分のサイトに設置するだけ。

数千円程度ですから、短縮URL乗っ取りのリスクを考えれば安いものです。

とくにWEB担当者なら「知らなかった」では済まされない話です。
しっかりと短縮URLでもリスク対策をしましょう。

【被害者なのになぜ非難？日本地図センター】

どうやらYahoo!など検索が悪いと思っているようで、とんちんかんなSNSでのツイートがあったり・・・

サイト改ざん

ダメだしばかりもダメなので、最低限コメントの対応のサンプルを提案したいと思います。

改ざんが疑われたとしたら、前提としてそのサイトが人目に触れないようにする必要があります。

ウイルスやフィッシングなどが含まれたサイトなら、アクセスしただけで見た人が被害にあってしまうからですね。

【重要なお知らせ】現在、Yahoo検索やGoogle検索等で「日本地図センター」と検索すると、中国語のような説明文が表示されます。
これをクリックすると地図センターではないページにアクセスする可能性がございます。
皆様には、この検索結果を絶対にクリックしないように、強くお願いいたたします。 pic.twitter.com/SYwHcNkAYJ

— （一財）日本地図センター (@JapanMapCenter) December 11, 2019

アレだけ電話でサーバ落とせって言ったのに聞かないからまた改竄されていますよ

たぶんサーバーなんてわからないんでしょうね。
サーバーとドメインを切れば、このサイトは表示されないですからね。

httpsじゃないってマジ？

今どき、SSL化されてない時点で怪しいですからね・・・
サーバーからSSL化するだけです。

名簿とか満載の端末でアクセスして情報抜かれたから訴えるって言われたら確実に負けるよねこれ

たとえば私がアクセスして、フィッシングサイトだったとする。
そこで私の端末にまでハッキングされたとしたら、改ざんサイトを放置している日本地図センターは訴えられて負けるようね、ってことですね。

火事を出して、放置した。人をひいて、逃げた。
このように責任を放棄している、ってことです。

サーバ上のファイルを改竄されたと言うことはサーバの情報は見放題、ということなのでアクセスログ、入力した情報、日本地図センターが保有している顧客情報は漏洩している可能性があります。

改ざんできる＝サーバー内のファイルをコントロールできる。
ということは、サーバー内に顧客情報があったらそりゃ抜かれてもおかしくない。ってことですね。

ただ運が良ければギャンブルサイト？への転送だけですむことも考えられます。　しかしリスクが青天井なのに放置しているのが致命的な問題なわけですね。

検索結果以前に、このアカウントのURL設定を一度解除するといった対策をなぜやられないのですか？ 検索結果と同じURLが記載されてることは問題だと思いませんか？

サーバーのことがわからなくても、ツイッターのリンクをまず消せ！ってことですね。

でもこのことから分かるのは、何が起きているのか把握できていない。
対処法もわからない、応急処置を聞いても作業できないということです。

現在はようやく、サイトが非表示にされています。
ではもし同じようなことになったら、どうすればよいのでしょうか？

最優先するべきは、サイトを広めない（不正ページにアクセスさせない）ことです。

・SNSのプロフィールなどから、対象サイトへのリンクをはずす

・メルマガなどを発行していたら、状況をつたえる

などなど、被害がひろがらないような対策が必要です。

ＦＴＰ

ワードプレスなどのCMSだったとしても、たぶんファイルが書き換えられています。
なのでFTPで直接サーバーに接続して、対象ファイルを削除します。

対象ファイルがわからないなら、すべて削除。
全部を削除できたら、「メンテナンス中」、SNSや電話の連絡先を明記したindex.htmlファイルをサーバーに設置。

ドメイン＆サーバー

プログラムによっては、FTPから削除できないタイプもあります。
その場合は、ドメイン＆サーバーのDNS設定を解除します。

ドメイン側からでもいいですし、サーバー側からでもOKです。
どちらかの設定が解除されれば、ページは表示されません。

最低限、ここまでは社内でできないとまずいです。
もしくは外注しているところにすぐ対応してもらえる環境は必要です。

作戦会議

とりあえずここまでできれば、不正なページが表示されません。
なので被害が広がらず、裁判になっても適切な対応を行えたと判断されるでしょう。

ここからは、バックアップで済むのか、サーバー環境から作るのかなど、ちょっとプロに依頼して再構築ことになるでしょう。

これだけIT化が進むと、トラブルも増えるのはしかたありません。
でもトラブル時に適切な対応をとれるかどうか？

会社の信用にも直接つながることなので、十分気をつけましょう。

さくらメールボックスコントロールパネル

こんなメールが。
いつもどおりの微妙な内容。

必要な処置：

ウェブメールアカウントを確認してください。

あなたがする必要あるのは下のボタンをクリックすることだけです（それはほんの数秒かかります）。
あなたはあなたの個人情報の確認を求められることはありません。私たちはあなたのさくらウェブメールアカウントの所有権を確認しているだけです。

http://secure.webmail-sakura.co/jp/rscontrol/webmail=login

secure.webmail-sakura.co

今後ともさくらインターネットをよろしくお願いいたします。

あぁまぁ良くあるフィッシングメールだよね。

と思ったのですが、持ってるドメインだし。
ただ送信元を見るとどっかの会社のドメインだし。
※勝手に設定しているわけですね。

念のため本文をGoogleでチェック。
フィッシングメールだと誰かがアップしてくれてますからね。

しかーし。ない・・・
ん？てことは本物のメール？

ということで、さくらインターネットの該当サーバーへ。

てか容量まるまる余ってるじゃん。
と思いながらも、メール配信履歴をチェック。

すると・・・

ん？　何通か毎日おくっておる・・・
誰に？何を？

調べてみると、１０年くらい前に設定したステップメール。
確かにガラケーに毎日来てる。

どこに設定したか忘れてたけど、これで見つかったわ。

１０年使えるシステムってすごいよね。
ちなみに「楽メール」です。

偽のサイトsakura.co

リンク先のアドレスもSSL化されておらず、「http」のまま。

http: //secure. webmail-sakura.co/jp/rscontrol/ webmail=login
ですが、「sakura.co」から転送しているようですね。

気になってクリックしてみた。※すな！

そしたらウイルスソフトよりさきに、Googleさんでブロック。
さすがにセキュリティに厳しくなってるだけある。

ちなみにドメインは、　sakura.co　です。
チェックしてもこうなるので、お気をつけください。

まぁさくらを使ってて、独自ドメインからメール配信もやっている。
そんな人は少なそうだけど。

逆にSSL化などのセキュリティを怠っていると、そろそろリスクがありそう。
httpってだけで、なんらかのペナルティの対象になるかもしれませんね。

※すでに「保護されていない」表示、検索順位への影響は公表済み

可能性としてはよくある話ですが、今回の実例はエグかった。
ドメイン登録後に、うかつに解除する最悪とも言えるパターン例です。

自民党の高木毅元復興相

自民党の高木毅元復興相の事務所は今年、公式サイトのドメイン更新を怠ったため、海外の第三者に所有権が移転したことに気付いた。

ドメインの末尾を「．com」から「．jp」に変え、新たなサイトを立ち上げたが、同党福井県連のサイトには旧サイトへのリンクが残っており、閲覧者が誤ってアクセスしてしまう恐れがあった。県連は16日午後、現サイトにリンクを修正した。

 

でも、インスタのプロフはそのままー。みたいな。

フィッシングサイト（たぶん）

ふむふむ、

http://www.takagitsuyoshi.jp/

www.takagitsuyoshi.jp

http://www.takagitsuyoshi.com/　こっちが旧サイト。
※フィッシング？に絶賛利用されちゅう。

って確認したら、ガチでフィッシングサイトになってるし！

ウィンドウズ１０のシステムが破損して２４０秒くらいでファイルを削除するという警告メッセージ！

これ、ビビってクリックしちゃう人がいそうだよ。
ビープ音も鳴って、私もビビりましたよ。

旧ドメインを使ったサイトは、別サイトに誘導する仕組みになっており、高木氏の事務所は数カ月前に把握。しかし、ドメイン所有者を特定できず、「手の出しようがない」（担当者）という。

ドメイン所有者を特定する方法

ドメインは世界のルールで所有者は登録制です。
なので「WHOIS検索」でドメインの所有者を確認することができます。

が、よくわからん・・・
とりあえず「オランダ」だということはわかった。

でもIPアドレスからオランダのサーバーを利用しています。
なので通常は、そのサーバー会社の窓口に連絡するんですね。

ですが、これは確信犯でやっています。
私なんかじゃ分からない高度な方法を使ってる可能性も高いです。

こんな詐欺のプロっぽい業者との取引もハードル高いっすよ・・・

対策

フィッシングとしては通報できるけど、ドメインを返せってのは厳しそう。

かりに返還されても、フィッシングサイトとして登録される可能性もあります。
つまりもうドメインとしてブラックリストにのる確率も高いです。

そう考えると自衛策としては検索から、”takagitsuyoshi.com”へリンクをはってる仲間のサイトをチェックでしょうね。インスタも。

それで修正依頼を全部やる。

まとめ

• ドメインの更新忘れ
• フィッシングに利用される？
• 対策なし

そうとうに難易度が高い、非常に珍しいパターン。
サイトの悪事を辞めさせることはできても、ドメインの返還を求めるのはとても困難です。

商標名でもないので、裁判にもならないですからね。
本名が「高木毅」というだけでは権利を主張することもできません。

起きてしまってからでは、どうしようもないということですね。
これらも含めて、一般のビジネスでもWEBまわりの管理が必要な時代です。

とりあえず、今後はWEBのトラブルを発生させないようにすることが大切です。
政務活動費の中から予算を割いて、私にコンサルを依頼しましょう。