URL短縮ツールのリスク

近年、多くのビジネスがURLを短縮するサービスを利用しています。bit.ly、ow.ly、t.co、t.me、tinyurl.comなど、どれも、大分前から使用されており、誰もが見たことがあるでしょう。あまりにもよく目にするため、何も考えずにクリックしていませんか？しかし、本当に安全なのでしょうか。短縮リンクがどのように機能するのか、そしてセキュリティ上どのようなリスクがあるのかを考えてみましょう。

短縮リンクをクリックしたら何が起きるのか

短縮リンクをクリックすると、期待どおりのリンク先、つまりリンクを共有した人が指定したアドレスに、「ほぼ」直接アクセスします。「ほぼ」ということは、厳密には直接ではないという意味です。実際のルートは、少し迂回して、URL短縮サービスを経由します。

サービスによっては、指定されたアドレスまでより速く、スムーズにたどり着きます。もちろん、多少時間がかかるのは大したことはないと感じるでしょう。しかし、電子システムの場合、何者かが悪意のある行為を実行するには十分な時間があります。

短縮リンクを利用する主な理由は、スペースの問題でしょう。長いリンクを短いものにすると、リンクの画面占有率が減ります。これは特にスマホでは重要なことです。そして、SNSの投稿などで文字数に制限がある場合、使用する文字数を抑えることができます。ただし、残念ながら、そこで終わりではありません。短縮リンクの作成者は、独自の目的を追求していて、必ずしもユーザーに配慮しているからではない可能性があります。では、独自の目的とは何でしょうか。

短縮リンクとユーザー追跡

WebサイトのURLがなぜこんなに長くて見苦しいのか、疑問に思ったことはありませんか？これは一般に、クリックの数を追跡するための各種パラメータ、いわゆるUTMタグがリンクにエンコードされているためです。

このようなタグは通常、ユーザーがどこでリンクをクリックしたのかを特定し、広告キャンペーンの効果を分析したり、閲覧されたブログページを特定するために使用されます。当然ながら目的は、ユーザーの利便性を追求するためではなく、デジタルマーケティングのためです。

通常、これは無害なトラッキング方法の一つで、必ずしもリンクをクリックした人のデータを収集するわけではありません。マーケティング担当者の多くは、誰がどこからアクセスしているのかを知りたいだけです。しかし、この追加の「パッケージ化」は見た目があまり美しくなく、URLが非常に長くなりがちなので、URL短縮サービスがしばし利用されます。

URL短縮ツールは、ユーザーを目的地のアドレスに誘導するだけにとどまりません。あなたのデータは、埋め込まれたUTMタグを通して、短縮リンクの作成者だけでなく、URL短縮ツールの運営側の手にも渡ることになります。もちろん、ネット上では何らかのデータが収集されるものですが、短縮リンクを使用すると、あなたに関するデータを持つ第三者が増えることになり、プライバシー上のリスクが生じます。

偽装された悪意あるリンク

短縮リンクは、プライバシーの問題に加え、デバイスやデータのセキュリティを脅かす可能性があります。リンクをクリックする前には、必ず注意深くリンクをチェックするべきです。しかし、短縮リンクでは、どのWebサイトにたどり着くのか、クリックをする前に確実に知ることができません。

サイバー犯罪者が短縮リンクを利用しているとしたら、リンクをチェックせよというアドバイスは意味がありません。リンク先がわかるのはクリックした後で、その時にはすでに手遅れな場合もあります。攻撃者が、ブラウザーのゼロクリック脆弱性を悪用している場合、悪意のあるサイトにアクセスするや否や感染してしまう可能性があります。

短縮リンクと動的リダイレクト

サイバー犯罪者は、必要に応じてURL短縮ツールを使用して、ターゲットアドレスを変更することもできます。たとえば、ある攻撃者が数百万ものメールアドレスが含まれるデータベースを購入し、それを使用してフィッシングメッセージを送信したとします（もちろん、何らかのリンクが記載されています）。ここで（攻撃者にとって）問題が発生し、作成したフィッシングサイトがすぐに発見され、ブロックされてしまいました。別のアドレスでホストし直す選択肢もありますが、その場合すべてのフィッシングメールを再送する必要があるでしょう。

解決策として、「シミング」サービスを利用して、ユーザーが訪問しようとするURLを簡単に変えます。ここで「シム」の役割を果たすのがURL短縮ツールで、もともと疑わしい目的のもと作成されたURLも含みます。

このアプローチをとると、シミングサービスへのリンクがフィッシングメールに追加され、被害者は現在もアクティブなアドレスのフィッシング詐欺師のサイトにリダイレクトされるようになります。経路をさらにわかりにくくするために複数のリダイレクトがよく使用されます。リンク先のフィッシングサイトがブロックされた場合、サイバー犯罪者はそのサイトを新しいアドレスでホストし、シム内のリンクを変更するだけで、攻撃を続けられます。

中間者攻撃

Sniplyなど一部のURL短縮ツールは、短縮リンク以上のサービスをユーザーに提供します。このツールを使えば、リンクをクリックした人が実際のリンク先サイトで行ったアクションも追跡できるため、事実上の中間者攻撃です。トラフィックは中間サービスノードを通過し、ここでユーザーとリンク先サイトの間でやり取りされるすべてのデータが監視されます。こうしてURL短縮ツールは、入力された認証情報やSNSのメッセージなど、必要な情報をどれでも傍受できるようになります。

個人的なスパイ活動

ほとんどの場合、短縮リンクは大量使用を目的としてSNSの投稿やWebページに埋め込まれます。しかし、メッセンジャーやメールを介して個人用アドレスや会社用アドレス宛てにリンクが送信された場合、さらなるリスクが生じます。あなたに関する情報をすでに持っている攻撃者がこのようなリンクを使用すると、あなたの個人情報があらかじめ入力されたフィッシングサイトにあなたをリダイレクトできます。たとえば、有効なユーザー名が表示された銀行サイトのコピーでパスワードの入力を求められたり、銀行カード番号が入力された「支払いゲートウェイ」サービスでセキュリティコードの入力を求められたりします。

さらに、高度な機能を提供するURL短縮サービスの場合、そのようなリンクをドキシングやその他の追跡に使用できます。たとえば、Twitchでプライバシーを保護する方法に関する最近の投稿では、ライブ配信者の個人情報を守る方法について詳しく説明しました。

安全を確保するには

では、被害に遭わないためにはどうすればよいのでしょうか。短縮リンクを絶対にクリックしないようにとアドバイスすることもできますが、ほとんどの短縮URLは、正当な目的で使用されています。また、そういったリンクを完全に避けるという選択肢はあまり現実的ではありません。ただし、ダイレクトメッセージやメールで送信されてきた短縮リンクには特に注意するようお勧めします。このようなリンクをコピーして、GetLinkInfoやUnshortenItなどの短縮リンクチェックツールに貼り付けて、クリックする前にリンクをチェックできます。

プライバシー保護とセキュリティニーズに対応する包括的な最上級のセキュリティソリューションを使用する選択肢もあります。たとえば、カスペルスキー プレミアムには、既知のトラッカーのほとんどをブロックするセーフブラウジング機能があり、これを使用すればネット上でのアクティビティが監視されることはなくなります。

カスペルスキー製品は、オンライン詐欺やフィッシングからも保護します。短縮リンクが使用されていたとしても、危険なサイトにアクセスしてしまう前にカスペルスキー プレミアムが適切なタイミングで警告を表示します。そしてもちろん、アンチウイルスが、未知の脆弱性を悪用する試みを含め、デバイスを感染させようとするあらゆる試みから保護します。