短縮URLをクリックしたら「個人情報」を抜き取られる?
先日、ネットセキュリティのエンジニアと話していた時のこと。あるエンジニアが、こんなことを言いました。
「短縮アドレスって、あるでしょう。あれが悪用されるケースが増えてるんですよ」
短縮アドレスは、一般に短縮URLと呼ばれています。ツイッターなどSNSでのコミュニケーションやメールでやり取りをする時、長いURL=アドレスだと文字数の制限に引っかかったり文章が長くなってしまうため、10文字前後の文字列に変換してくれるサービスです。
知らずに「アクセス不能攻撃」に加担してしまうことも
SNSで便利に使われている短縮URL
とても便利なサービスですが、どのように悪用されているのでしょうか?
「短縮して表示されたアドレスをクリックすると、元の長いアドレスへリンクされたウェブページにいったん飛ばされ、そこから目当てのページに再度飛ばされるんです。つまり、3人でキャッチボールをやっているようなもので、A(=クリックしたユーザー)からいったんBにボールを投げ、Bが目当てのCにボールを投げる、と。このときに、BがCではなくDにボールを投げていたとしても、クリックしたユーザーはすぐには気づきません」
そこで、本物を装った偽サイト(=D)へ誘導して、個人情報を抜き取るフィッシング詐欺に利用されるケースが目立っているそうです。
URLが長いままであれば、企業や個人の名前など訪問したい先かどうか確認することができる要素が含まれています。しかし短縮URLではその部分が適当な文字列に変えられているため、注意のしようがないという部分を悪用しているのです。
また、途中のBが勝手にボールを2つに分けてしまい、CだけでなくEにもアクセスしたことにしてしまう、というのもあるのだとか。
「この場合、クリックしたユーザー(=A)はCとE両方のサイトにアクセスしたことになるわけですが、怖いのはEがどこかのサイトを攻撃するために、わざわざつくられたものである時です」
知らずに「アクセス不能攻撃」に加担してしまうことも
例を挙げると、ターゲットとなるサイトに過剰な負荷をかけて表示できなくする「アクセス不能攻撃(DoS攻撃)」に利用されてしまうということがあります。
DoS攻撃は、間断なくサイトへのアクセスを要求することにより、信号の処理をオーバーフローさせ、結果的にサーバーをダウンさせてしまうものです。
ネット上の攻撃手段としてはよくあるものですが、企業や団体に対して行った場合、業務妨害に問われ、刑事犯となったり、賠償を請求されてしまったりする可能性があります。
EがDoS攻撃を行うサイトだった場合、アクセスしたユーザーAも、「自ら攻撃に参加したネットユーザー」だと認定されかねないわけです。
「実際、海外では何も知らずにクリックしただけのユーザーが、業務妨害の犯人となってしまった事件がいくつかあります。攻撃サイトにアクセスしたIPアドレスから捕まったのが、本当に何もわかっていなかった子どもや中高年だったということすらありました」
知らないうちに、犯罪の手助けをしてしまっているとは、恐ろしい世の中になったものです。可能性としては、何気なくクリックした短縮アドレスの先にある攻撃サイトが、自分の会社や団体を攻撃していることだってあり得るわけです。
「SNSに張られたURLを闇雲にクリックしないこと」
短縮アドレスにカーソルを当てたり、ポイントすると元のアドレスを示してくれるものも、一部にはあるそうです。でも、ほとんどは、飛ばされる先がわからないままクリックしなければならないタイプ。これでは、やはり注意のしようがありません。
「今のところは、SNSなどに張られた短縮アドレスを闇雲にクリックしない、というクセをつけるしか対処がないですね。そのURLを最初に書き込んだ先がわかるものなら、追跡して怪しい人物かどうかを確かめるとか。ネット上の悪意はどんどん巧妙になっていますから、悪いことを考えている人物がいると、常に警戒しておくことです」
スマートフォンがブームなのは、世界中どこでも同じです。それに便乗した悪意のある連中は、国境を越えて詐欺を働いたり、何も知らないネットユーザーに犯罪の片棒を担がせようとしています。
ネットは善意にも悪意にも使える。意外と普段は忘れがちなことなのではないでしょうか。(井上トシユキ)