このページの本文へ

「短縮URL」に潜むセキュリティーリスク その手口と、引っかからないための対策

2024年06月28日 09時00分更新

文● せきゅラボ編集部

  • この記事をはてなブックマークに追加
  • 本文印刷

便利なサービスを悪用する犯罪

 「短縮URL」をご存知だろうか。その名の通り短縮されたURLのことで、正規のURLの文字数を減らして変換するサービスとして、短縮URLが利用されている。

 正規のURLを短縮URLのサービス上に登録すると、そこで短縮URLが発行される。そして双方のURLが、サービス上のデータベースに登録されることになる。その後に短縮URLを入力すると、正規のURLがブラウザーなどに通知され、そこから正規URLにアクセスするようになっている。

 このサービスを使うメリットのひとつとして、SNSなどに投稿したいURLの長さを短縮することが可能なことが挙げられる。SNS上での文字数制限に際してより多くの文字数を使えるだけでなく、投稿の見た目も良くなると感じる人もいるだろう。

 一方で、問題点もある。まず、URLが短縮されることで、どのようなサイトにリンクされているかわからなくなってしまう。サイバー犯罪者は、この性質を悪用して、ユーザーを悪意のあるウェブサイトに誘導することがある。

 アクセスするサイトのURLの「ドメイン名」を確認することで、悪意のある詐欺サイトかどうかを判断する方法がある。しかし、短縮URLの場合は、リンク先のドメイン名が省略されているので判断することができない。

 SNSのメッセージで友人になりすましてメッセージを送り、短縮URLをクリックさせる手口は有名だ。短縮URLの場合、悪意のあるサイトへのURLだとは気づきにくい。もしアクセスしてしまうとSNSアカウントを乗っ取られてしまい、他の友人にも不正な短縮URLを送信されてしまうなどの恐れがある。

不用意にタップ/クリックしないことが重要

 他には、悪意のある人間がニセの短縮URLサービスを開設している事例もある。その短縮URLサービスを利用すると、どんなURLでも危険なウェブサイトに転送される短縮URLが生成されるというわけだ。

 多くの場所で使われている短縮URLだからこそ、それを悪用したサイバー犯罪も少なくない。自分がそのサービスを利用することが少ない場合でも、注意したい手口といえるだろう。

 短縮URLからどこにアクセスできるかは、タップ/クリックしてみないとわからない。そこで、不用意にアクセスしないことが重要になってくる。短縮URLを使用していたり、アカウントに不審な点がある場合はタップ/クリックせず、日頃から信頼性の高いアカウントや企業のサイトなどをするように心がけたい。

 また、不審なURLを含んだメールやSNSのメッセージ、SMSなどを受け取った場合は注意が必要だ。メッセージの文面が不自然だったり、違和感を感じたりした場合は、アカウントが乗っ取られた可能性がある、他の連絡手段で友人に確認してみるとよい。

 信頼のできるセキュリティソリューションを導入し、ウイルスやマルウェアの脅威に普段からそなえておくのも、基本中の基本だ。

 今回は、McAfee Blogから「短縮URLに潜む罠に引っかからないための対策を解説」を紹介する。(せきゅラボ)

※以下はMcAfee Blogからの転載となります。

短縮URLに潜む罠に引っかからないための対策を解説:McAfee Blog

短縮URLを悪用したサイバー犯罪

オンライン上で気軽にコミュニケーションが楽しむことができるX( 旧Twitter )やInstagramなどのソーシャルネットワーキングサービス(SNS)は、2010年代からわずか数年の間に私達の生活の中に一気に浸透しました。しかし一方では、SNSから発生した事件数は増加の一途をたどっており、大きな社会問題となっていることも事実です。SNS上で個人情報を公開してしまったことで狙われて犯罪に巻き込まれたりするなど、SNSは見知らぬ第三者が私達に攻撃を仕掛けてくるきっかけとなりやすいという欠点もあります。特に悪質なWebサイトのリンク先を隠すことができる短縮URLを悪用したサイバー犯罪は多く、サイバー犯罪者は人気の商品や話題となっているニュースなど私達が興味のあることを餌に罠を仕掛けてきています。今回は、短縮URLを悪用した主な犯罪手口と、罠に引っかからないための対策について解説します。

短縮URLに潜む罠とは?

近年、X( 旧Twitter )やInstagramなどのSNSの登場によって、短い文章によるやりとりや自分の価値観や思想を表現する方法が主流になっています。しかし、なかには投稿内容に文字数制限があり、要約するのに苦労したという人も多いはず。そんな悩みを解決するために役立っているのが短縮URLです。短縮URLはその名の通り、投稿したいURLの長さを短縮することができる便利なサービスで、これによってSNS上での文字数制限問題を解決することができます。本来のURLよりも文字数が短縮されることで、より多くの文字数を使うことができるだけでなく、投稿の見た目もより良くなります。

しかし、短縮URLにはいくつかの問題点もあります。まず、URLが短縮されることでクリックしない限りはどのようなサイトにリンクされているかわかりません。サイバー犯罪者は、この機能を悪用してユーザーを悪意のあるウェブサイトに誘導し、様々な罠を仕掛けてきます。短縮URLは悪意のあるサイトへアクセスされるだけでなく、クリックするだけでマルウェアに感染したり、個人情報が盗まれてしまう場合もあります。このような危険な短縮URLは、主にX( 旧Twitter )上で人気のあるハッシュタグや誰もが興味を持ちそうな最近の話題を利用して、私達に近づいてきます。

また、アクセスするサイトのURLの「ドメイン名」を確認することで悪意のある詐欺サイトかどうかを判断する方法がありますが、短縮URLの場合はリンク先のドメイン名が省略されているので判断することができないので、サイバー犯罪者に悪用されてしまうというわけです。さらにはSNS上の投稿だけではなく、友だちのアカウントを乗っ取ってSNS内のメッセージで送信してくることもあり、これは偽物かどうか非常に判断がつきにくいのが難点です。このようなサイバー犯罪者が仕掛けたオンライン上の罠は、至る所で確認されており、私達の生活においても常に遭遇する可能性があるといえます。SNSを利用する人ならば、誰もがこうした犯罪に巻き込まれる可能性があることを常に頭の片隅においておきましょう。

短縮URLを悪用した犯罪事例

ここでは、過去に起きた短縮URLを悪用した犯罪事例を紹介します。

X( 旧Twitter )での偽サイトへの誘導

X( 旧Twitter )は、ユーザーが短縮URLを最も使用する可能性が高いSNSですが、このTwitter内で短縮URLを悪用して詐欺サイトやマルウェアなどに感染させるための悪意のあるサイトなどへ誘導する事例が多いです。短縮URLが少しでも怪しいと感じたらクリックするのをやめ、URLが本物と確認できる信頼性のあるアカウントのものだけで見るようにしましょう。

なりすましによる悪意のあるリンクへの誘導

SNSのメッセージで友人になりすましてメッセージを送り、短縮URLをクリックさせる手口はよく知られています。もしクリックしてしまうとSNSアカウントを乗っ取られてしまい、他の友人にも不正な短縮URLを送信されてしまう恐れがあります。また、なかには有名企業やSNS公式アカウントを装って送信してくる場合もあり、「お支払方法の再登録のお願い」などという名目で、短縮URLをクリックするように仕向ける手口も確認されています。この場合、アカウントだけでなく、オンラインバンキングやクレジットカード情報を騙し取られてしまう恐れがあります。

偽の短縮URLサービス

過去には、サイバー犯罪者自身が偽の短縮URLサービスを開設している事例もあります。偽の短縮URLサービスを利用すると、どんなURLでも危険なウェブサイトに転送される短縮URLが生成されます。何も知らずにその短縮URLをSNSで投稿すると、自分も悪意のあるURLを拡散するという犯罪に加担してしまっているというわけです。

ニュースサイトの信頼度の高さを悪用

2014年、アメリカのBitly社による独自の短縮URLを提供するサービスが悪用されました。短縮URLを作成する際にユーザーに提供するAIPキーを悪用され、認知度の高いMSNBCのウェブサイトから悪意のある偽のニュースサイトに読者をリダイレクトする悪意のあるリンクを含むスパムメッセージが、GoogleやYahoo!のメールを通じて拡散されていたことが確認されています。Bitly社は、対策としてリダイレクト先ページをブロックすることでユーザーを保護しました。この事件は、MSNBCのような有名なニュースサイトの信頼性の高さを悪用した例として知られています。

短縮URLに騙されないためのセキュリティ対策

以下では、偽の短縮URLに騙されないための対策をいくつかまとめました。

クリックする前に送信元に確認する

短縮URLだけでなく、不審なURLを含んだメールやSNSのメッセージ、SMSなどを受け取った場合は疑いましょう。メッセージ内容の日本語が不自然だったり、友人の口調に違和感を感じる場合は、メールアドレスやアカウントが乗っ取られた可能性があるので、そのまま返信せずに他の連絡手段で友人に確認してみるとよいでしょう。

不用意にクリックしない

SNSやインターネット上には、私達を騙そうとする様々な危険な罠が張り巡らされています。よって、最も重要なことはむやみやたらにクリックしないことが重要です。X( 旧Twitter )上にたとえ興味を惹くような内容を見つけたとしても、短縮URLを使用していたり、アカウントに不審な点がある場合はクリックせず、日頃から信頼性の高いアカウントや企業のサイトなどをするように心がけましょう。

安全性の高いセキュリティ対策ソフトを導入する

オンライン上で様々な脅威が蔓延る現代において、オンライン上でより安全性を高めるためにはセキュリティ対策ソフトの導入は不可欠といえます。特にマカフィーのような長年実績があり、信頼性の高いセキュリティサービスを提供している会社のセキュリティサービスはおすすめです。中でもマカフィートー + ウルティメイトは、ウイルス対策だけでなく、ファイアウォールやウェブサイトをクリックする前にウェブサイトの安全性を色分けで判断できる機能などを兼ね備えているので偽の短縮URL対策にはもってこいといえます。また、個人情報が漏洩した場合の復旧作業などもサポートしてくれるので安心です。

まとめ

短縮URL詐欺は、SNSを介してユーザーの興味を引くようなキーワードを利用して悪質なリンクへ誘導する、あるいは友達になりすまして悪質なリンクをメッセージで送ってくることが多いです。もし、このような悪質なリンクをクリックしてしまうと、マルウェアやトロイの木馬などが組み込まれたウェブサイトに誘導されてお使いのデバイスに悪影響を及ぼしたり、個人情報が漏洩してしまう可能性があります。短縮URLによって危険なワードは隠されるのでユーザーの警戒心も緩みがちになります。しかし今回、短縮URLに潜む危険性を学んだことで、短縮URLに対する見方も変わったことでしょう。被害に遭わないために最も大事なのは、普段から短縮URLに対して警戒心を持つことです。インターネットを使用する際は上記で学んだポイントを踏まえた上で利用するようにしましょう。

※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。

■関連サイト

カテゴリートップへ