短縮URLをクリックしたら「個人情報」を抜き取られる？

   先日、ネットセキュリティのエンジニアと話していた時のこと。あるエンジニアが、こんなことを言いました。

「短縮アドレスって、あるでしょう。あれが悪用されるケースが増えてるんですよ」

   短縮アドレスは、一般に短縮URLと呼ばれています。ツイッターなどSNSでのコミュニケーションやメールでやり取りをする時、長いURL＝アドレスだと文字数の制限に引っかかったり文章が長くなってしまうため、10文字前後の文字列に変換してくれるサービスです。

知らずに「アクセス不能攻撃」に加担してしまうことも

SNSで便利に使われている短縮URL

   とても便利なサービスですが、どのように悪用されているのでしょうか？

「短縮して表示されたアドレスをクリックすると、元の長いアドレスへリンクされたウェブページにいったん飛ばされ、そこから目当てのページに再度飛ばされるんです。つまり、３人でキャッチボールをやっているようなもので、Ａ（＝クリックしたユーザー）からいったんＢにボールを投げ、Ｂが目当てのＣにボールを投げる、と。このときに、ＢがＣではなくＤにボールを投げていたとしても、クリックしたユーザーはすぐには気づきません」

   そこで、本物を装った偽サイト（＝Ｄ）へ誘導して、個人情報を抜き取るフィッシング詐欺に利用されるケースが目立っているそうです。

   URLが長いままであれば、企業や個人の名前など訪問したい先かどうか確認することができる要素が含まれています。しかし短縮URLではその部分が適当な文字列に変えられているため、注意のしようがないという部分を悪用しているのです。

   また、途中のＢが勝手にボールを２つに分けてしまい、ＣだけでなくＥにもアクセスしたことにしてしまう、というのもあるのだとか。

「この場合、クリックしたユーザー（＝Ａ）はＣとＥ両方のサイトにアクセスしたことになるわけですが、怖いのはＥがどこかのサイトを攻撃するために、わざわざつくられたものである時です」