エフセキュアがセキュリティトピックスを解説！

短縮URLを巡る、犯罪者とセキュリティベンダーのいたちごっこ

2011年06月20日 06時00分更新

文● 八木沼与志勝／エフセキュア

　コンピュータ犯罪といえばウイルス感染やフィッシング詐欺などさまざまなキーワードが思い浮かびます。一方、犯罪者からすると仕掛けを作る場として魅力なのはWebです。これは仕掛けをインターネットという雲の中に隠してしまうことで見つかりづらくすることができたり、簡単に切り替えられることが大きな要因でしょう。また、最近急速に普及しているスマートフォンも、犯罪者にとって大きなチャンスのようです。最近見つかってきた、新しいWebサイトを利用した犯罪手口を紹介しましょう。

短縮URLを隠れ蓑につかう

　ソーシャルネットワークの発達に伴い、短縮URLが多く見られるようになりました。長いURLを短いURLに置き換える短縮URLですが、元のURLを隠蔽する効果もあります。URLが短縮されることにより、リンク先のドメイン情報やURLに組み込まれたパラメータ等は見えなくなるため、その短縮URLのリンク先が本当に自分が行きたいサイトを指しているのかどうかは分からなくなります。

　特にTwitterを始めとするSNSサイトでは、人気のブランド等の読み手の興味のある記事の中で短縮URLを記載するため、読み手に短縮URLのリンク先が正しいサイトだと思い込ませる効果を持たせていますので、仮に本家サイトを似せて作ったフィッシングサイトであっても気づかなかったりします。このように、短縮URLは文字スペースの節約に便利である反面、リスク増加の要因にもなっているのです（図1）。

図1　短縮URLは便利だが、見ただけでは行き先がわからないという問題もある

　PCからの利用であれば、もとの短縮前のURLを表示するWebサイトもあります（図2）。

図2　PCの環境では、短縮URLの行き先が表示される仕組みが増えている。たとえば、TwitterのWebサイトでは短縮URLにマウスカーソルを合わせると、行き先のURLがポップアップする

　しかし、スマートフォンなどでは、実際にアクセスしないとわからない場合が大半です（図3）。ですので、そのため、スマートフォンによるWebアクセスをターゲットにしたフィッシング詐欺は、今後ますます横行してくるでしょう。

図3　画面サイズに制限のあるスマートフォンのクライアントでは、短縮前のURLが表示されないことが多い

　もちろん、セキュリティベンダーも手をこまねいているわけではありません。日々パトロールを行ない、悪意あるWebサイトを見つけ出しています。ですが犯罪者は、悪意あるWebサイトを短期間で閉じるなど、見つかりにくく捕まらないような工夫を凝らして、犯罪を繰り返しています。

　そこで、アクセス先URLを確認する、そのURLを紹介している人物／サイトが信用できるかを意識するといった習慣が大切になります。不用意にリンクをクリックしないこと、試してみようと思わないことも必要でしょう。

セキュリティベンダーによる短縮URLへの対策

　前述のように、セキュリティベンダーはインターネット上をパトロールしており、危険なサイトの情報をデータベースで管理しています。ただし、悪意のあるサイトは数限りなく存在し、時々刻々と姿を変えてしまいます。そのため、パターンファイルを配信するウイルス対策とは異なり、Webサイト情報を配信しても、有意義なセキュリティレベルをユーザーに提供することはほとんどできません。

　そこで、Webサイト情報はクラウド上でリアルタイムに更新される「レピュテーション（Reputation）」と呼ばれる方法で提供されます。たとえば、検索サイトでの検索結果に出てきたURLに対しては、クラウド上のWebサイト情報とリアルタイムに照らし合わせ、危険なサイトであれば検索結果内に警告を埋め込みます（図4）。

図4　検索エンジンの検索結果で危険なサイトかどうかを判別できるセキュリティソフトが各社から提供されている（画面は「エフセキュアクライアントセキュリティ」）

　さらに、WebブラウザでアクセスしようとするURLは常時監視しており、意図せず危険なサイトに誘導されてしまった場合も、自動的にアクセスをブロックしてくれます（図5）。

図5　危険なサイトにアクセスしようとすると自動的にブロックされ警告される（画面は「エフセキュアクライアントセキュリティ」）

短縮URLを短縮URLで隠し、セキュリティベンダーの裏をかく

　ところが、上記のようなセキュリティベンダーの取り組みに対抗するかのような動きもあります。それは、悪意あるWebサイトのURLを短縮URLでカモフラージュした上で、さらに別の短縮URLを適用する方法です。

　ある短縮URLは、別の短縮URLサイトから見れば一般的なWebサイトのURLと認識されます。これを利用して、悪意あるWebサイトへの短縮URLを、別の短縮URLで隠すことも可能です。Webサイトを評価する機能を持つセキュリティソフトは、短縮URLが指すサイトが危険かどうか確認します。ある短縮URLが指したサイトが特に害をもたらすわけではない短縮URLサイトであった場合、元の短縮URLは優良とみなされるというロジックです（図6）。

図6　短縮URLを重ねるとセキュリティソフトの網を抜け出せる可能性がある

　もちろん、セキュリティベンダーの研究者が、多段で短縮されたURLをちゃんと最後まで追っていけば、最終的に悪意のあるサイトに行き着くのかどうかは判別できます。ですが、Webサイトのデータは優に億を超える数があり、人手によるチェックは不可能です。効率化のために自動処理が行なわれ、短縮URLの多段追跡がされないケースが多いため、前述のロジックにより短縮URLを短縮URLで隠す方法を判別できない場合が多いのが現状なのです。

　図6の例では、adf.lyというアフィリエイト（1クリックで5ドル）付き短縮URLサービスを利用してお金を稼ごうという仕組みが盛り込まれていました（エフセキュアブログ2011年4月29日参照）

検索地域によって誘導先が異なる

　セキュリティベンダーによるパトロールで見つかりづらくするための別の方法として、検索条件によって検索結果を変える方法が確認されています。たとえば、エフセキュア本社のあるフィンランドで前出図6のURLをクリックすると、共同購入型クーポンの「GROUPON」のフィンランド語のサイトに飛びます（図7）。

図7　フィンランドからはGROUPONに飛ばされた

　一方、日本からこのURLにアクセスすると、図8のような英語のアフィリエイトコンテンツが表示されました。

図8　日本からアクセスすると違うサイトに飛ばされる

　図7も図8のサイトも、画面右上には「SKIP AD」というリンクがありますが、これをクリックするとAmazon.comのiPad2を販売するページにたどり着きました（図9）。

図9　最終的にAmazonに行き着いた

　エフセキュアブログの「ますます変化するWeb」でも触れていますが、この事例で利用された短縮URLは、iPad2をネタにしたtwitterスパムの中で使われています。アフィリエイトサイトで儲けを期待したようです。

　幸いなことに、フィンランドからも日本からも誘導されたサイトは、実質無害なものでした。ですが、SNSで使われた短縮URLと、場所により行き先が変わるIPロケーションテクノロジーを結びつけた、新たな誘導の方法が使われているという点は見逃せません。twitterスパムやFacebookスパムから、場合によっては、より悪意のあるリンクが待ち受けている場合もあるのです。

　この事例のように、同じURLであっても、どこの国からアクセスするのかによって誘導先が変わることで、ユーザーやセキュリティベンダーの対応を難しくしようという手法が最近増えてきているようです。

　現在のところ、セキュリティベンダーが構築しているWebサイトのレピュテーションデータベースは、必ずしも地域性のデータに関連付けられているわけではありません。ですので、ユーザーの立場からすると、セキュリティベンダーが提供するWebサイトのレピュテーション機能を使っていたとしても、危険が伴う可能性があります。一方で、セキュリティベンダーの立場では、レピュテーションデータベースを拡張しようとしても相応の時間がかかりますし、レピュテーションデータベースを改良し地域性やOS種別等の属性をWebサイトのURLに関連付けることができても、犯罪者によって日々と変化させられるサイト情報を更新し続けていくのは非常に大変なのです。

　別の事例として、2011年6月1日時点ですが、IMFの前専務理事のスキャンダルに乗じFacebookの「いいね」アイコンを利用してユーザーによる拡散を目論んだ攻撃が見つかっています（エフセキュア研究所のブログFacebook Attack Spreading both Windows AND Mac malware）。

　この事例ではOSの種類も判別しており、さらに手の込んだ手法になっているようです。本稿執筆時点でエフセキュアはこの手法を注意深く監視し、継続調査をしています。情報は随時エフセキュア研究所のブログおよび日本のエフセキュアブログでも更新していきます。

安全にWebを利用するために

　さまざまな手段で犯罪者は自分のWebサイトを隠し、巧妙にユーザーから利益を得ようとしています。これに対して、セキュリティベンダーも手をこまねいていているわけではなく、日々Webサイトのパトロール強化とデータベース強化を行なっています（エフセキュアニュースリリース）。

　PCであれスマートフォンであれ、Webを利用しない生活は考えられなくなっています。ですので、情報へのリンクがあるソース（今いるWebページや、ツイートした人等）の「確からしさ」の確認は、日々心がけておきたいものです。併せて、PCでもスマートフォンでも、Webサイトの信頼性情報（レピュテーション）を参照できる機能をもったセキュリティツールを導入すれば、安全性は高まります。

　悪意のあるサイトにアクセスして問題が生じてしまっては、取り返しは付きません。自己防衛は忘れずに行ないましょう。