パスワードを忘れた? アカウント作成
18269507 story
アナウンス

短縮URLの乗っ取りに注意 56

ストーリー by nagazou
注意 部門より
短縮URLサービス利用時に不正サイトへの誘導がおこなわれる事例が増えているそうだ。過去に紹介されているようなQRコードのシール上書きと行った手法ではなく、短縮URLが乗っ取られた可能性が高いという。piyologでこの問題に関する記事がまとめられている(piyologHaruhiko Okumuraさんのポストshao as a serviceさんのポスト情報通信工学科さんのポスト)。 この事例の一つであるいなげやは11月9日、一部店舗で掲示していたQRコードにアクセスした際、予期せぬ不正サイトに誘導する広告が表示され、クレジットカード情報が盗まれる被害が発生したと公表した。短縮URLサービス中の広告表示が原因と考えられている(いなげや:ネットスーパー入会案内における注意のお知らせ[PDF])。

確認された情報によると、QRコードの短縮URLは無料のサードパーティ短縮URLサービス「オンラインツール(onl.jp)」を使用しており、このサービスではGoogle Adsを含む悪質な広告が表示されることが確認された。11月12日には広告の挿入が停止されている。

同様の事案は他の組織でも発生しており、学習院大学も不正なリンク先に転送されるQRコードを大学案内2024に掲載していたことが判明。このほかオートバックスなどでも同様の事例が起きていたとしている。いなげやは短縮URLの利用について再点検を行うことを推奨している(学習院大学リリースオートバックスセブンリリース[PDF])。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年11月15日 20時00分 (#4564659)

    こういうネタがある度に毎回書いてる気がするけど、自分のコンテンツに対して誇りが無さ過ぎる。

    広告に「このサイト詐欺です、被害受付はこちら」とかリンク張られる可能性あるのに、何も対策せず広告受け入れるなんて、どういうプロ意識なんだろ。

    どこのサイトとは言わないけど、広告ならきっちり「以下広告枠(本サイトは広告費で運営されています)」って記載しろよ。
    広告が挿入される事が分かってるのに、ちゃんと表示しないのは、広告による悪事に加担してるのと同じって気付かないと。

    特にスマホ向けサイトのオーバーラップ広告は、WEBサイト側も悪意を持って導入してるとしか思えない。
    閲覧者が被った不利益を、全部掲載サイト側に負担させるようにしたら直ぐに止めるでしょ。

    • by Anonymous Coward

      広告とわかったら誰もクリックしない
      記事の続きに見せかけてクリックさせようとしてるわけよ、飛ぶ先を知らずに
      >特にスマホ向けサイトのオーバーラップ広告は、WEBサイト側も悪意を持って導入してるとしか思えない。

      積極的にやってるでしょ、儲かるから

      • by Anonymous Coward

        だから責任をコンテンツ提供者にも負ってもらえばすぐになくなるのでは?
        という話だと読み取りました。

  • by Anonymous Coward on 2023年11月15日 18時42分 (#4564609)

    なんで短縮URL使ってんだろう。

    • by Anonymous Coward

      URLが長くなれば、QRコードのセル数が増えて、
      印刷やページでの表示も大きくしないといけなくなりませんか?

      • by Anonymous Coward on 2023年11月15日 19時23分 (#4564630)
        外部サービスなんか使わんでサイト自身がmod_rewriteか何かで短縮すりゃええ話よね
        ドメイン部分はしゃあないにしても「https://srad.jp/HugaHoge」で「https://security.srad.jp/story/23/11/14/1345253/」にアクセスできるようになってりゃ十分でしょ。
        親コメント
        • by Anonymous Coward

          運用チームに依頼かけるより、手元のパソコンでチャチャっと済ませたいとかでしょ
          広報とか企画の人間ならそもそもそんな事知らなくても不思議じゃないし

      • QRコードのサイズが大きくなっても、
        誰も困らないような気がする。

        A2に印刷しないとドットが判別できないような
        サイズにするには何文字あればいいんだろう。

        親コメント
        • by Anonymous Coward

          面積広いと邪魔だろ? 特に印刷物だとQRコードだけが目的ではないので。
          だからといって、小さく印刷してしまうと、認識しづらくなる。
          必要性があってそのサイトに行くのなら頑張って認識させるが、単なる広告とかだと、認識しなかったらすぐ諦めるよね…。

          ※自分はブラウザにURLをQRコードにするプラグイン入れてて、Amazonとかで気になったのがあるとスマホで読み込んでるけど、大きなQRコードは認識失敗するケースが多々ある。手動でURL削ってリトライしたり…。

          • by Anonymous Coward

            ChromeやEdgeの場合、表示しているページのURLならプラグインすらいらん。リンクとかだと一手間かかる。

            #仕事で、任意の文字列のQRコードを作るのによく使っている。

      • by Anonymous Coward

        そうかQRコードか。
        twitterなんかではHTMLも冗長な上いらんもん色々付けて送ってくるのにURL程度短縮したところで意味ないだろとずっと思ってた。
        短縮URLにも使いどころはあるんだな……

      • by Anonymous Coward

        試しに、いなげやの件の短縮URLから辿り着いた元のURL文字列をQRコードにしてみたのですが、拡大しないと認識できねぇってほどセルが多いわけでもなかったですね。
        むしろ本当に、なんで短縮にしたのか理解に苦しむのですが…

        • by Anonymous Coward

          押し売り営業マンに騙されたんだろ

        • by Anonymous Coward

          印刷屋さんからチェック用原稿がFAXで届く事になってたのかも(妄想

    • by Anonymous Coward

      短縮にはアクセス解析機能がついてたものがあるんだけど
      既に短縮を使ってアクセス解析の運用をしていた場合
      QRでも使う意味はあるかと

      QRでもアクセス解析は出来ると思うけど
      わざわざ運用を変える必要はないですからね

      広告として使っていたなら、クリック数やそのリンクから入った人がどれだけ契約したかなど
      そういうのをアクセスログから計算して担当者に報告するシステムが既に社内にあるはずですからね
      ちなみに昔それを手作業でやらされてたwスクリプト組んで簡単にできるようにはしてたけど
      毎回やらされるのは面倒だからWebから自動的に見れるようにしてあげたけど

  • by Anonymous Coward on 2023年11月15日 18時48分 (#4564615)

    乗っ取りというと、作った後でリンク先がすげ替えられたような印象だけど、そうなの?

    単に、短縮URLのQRコードを無料で作りますが無料な代わりに広告を挟んでから指定のページへ飛ぶような短縮URLになります、っていうサービスの正常な動作ではなく?

    短縮URLにしてからQRコードってだけ聞くとサービスとして意味不明だけど、広告を挟むためというビジネスモデルなら納得出来る。使う奴は情弱過ぎるだろとは思うが。

    • by Anonymous Coward on 2023年11月15日 21時39分 (#4564693)

      「乗っ取り」って言葉があやふやなせいで誤解が生じてると思うけど、これってスクリプトの権限の話で、やっぱり不正な動作だと思うよ。ダイヤモンド・オンラインの広告とかでも時々あるんだけど、本来は雑誌社が紙面の脇に広告を掲載している「つもり」で、スクリプトのリダイレクトを許して乗っ取られてることがある。しかも、広告自体がランダムだから、再現性が低くて問題を認識してない疑いすらある。

      これと同じ現象だとしたら、本来はリンク先を表示する遷移画面の脇に広告を掲載している「つもり」で、広告が余計なスクリプトを挟むせいでリンク先ではなく、広告が誘導する先に飛んでしまう、という事だと思う。

      そもそも、コンテンツ側は広告主にスクリプトの実行を許すべきではないんだけど、そこを理解していないコンテンツ側が多すぎて、エコシステム全体が汚染されている。

      親コメント
      • by Anonymous Coward on 2023年11月16日 9時24分 (#4564836)

        元記事読んだ?
        別にスクリプト的に乗っ取られたとかじゃなく、
        短縮URLサービスが普通はリダイレクトするんだけど、広告見せるため(利益得るため)にそのサービスのページを表示することがある、と。
        で、そこに不正な広告表示が出て、「START」とか「ここから手続き」みたいな表示を出して、本来飛ぶべきページではなく不正広告のページへ変遷させる、というだけ。
        広告画像の騙し手法だね。

        悪いのはGoogleだと思う。誤解させるような画像やテキストを表示させる広告は悪でしょ。
        それくらい得意のAIでブロックしろよと。

        親コメント
    • by Anonymous Coward

      onl.jpは短縮URLに広告挟むビジネスモデルで、その広告が不正なものだったっていう話よなおそらく。
      広告出してるところが悪い。

      • by Anonymous Coward

        広告出稿業者「そうやって自分の無知を棚に上げて人のせいにする
        わけがわからないよ」

    • by Anonymous Coward

      「乗っ取り」は奥村氏のポストからの引用だろうけど、誤解というかよく調べずちょっと思っただけだろうなあ。
      nagazou氏少し気を遣ってくれぬか。

    • by Anonymous Coward

      もともと短縮URLは無料だろうが有料だろうが、あくまでも有効期限付きのサービスであって再利用・カブリが発生しうるという認識だったのだがそうではないのか?
      世の中ではそれほど短縮URLは信頼されてるの?

    • by Anonymous Coward

      一定条件でリンク先をフィッシングサイトに切り替えてたのではって話もある。
      基本はバレないように本来のリンク先で、何かしらの条件を満たしたやつだけすり替え。
      広告をクリックしてとんだだけって可能性もあるけど、本来のリンクがわかりにくく、
      本来のリンク先を偽装したフィッシングサイトに飛ぶのなら問題としては大差ないかな。
      そもそも全画面クリックエリアとかすら広告クリックの扱いだったりするし……

      短縮してQRコード作るのはセルサイズ広げるためには結構有効なんで、
      「短縮サービスの選択が間違っていた(悪意あるサービスだった)」というだけの問題かな。
      本当は各社自前のサイト内に短いURL用意するのが正攻法。

      あと、意識的に短縮URLに広告挟んでリンク作成者がキックバックを得るサービスとかもあるっぽいけど、
      あまりに無法地帯なんで企業でそこに手を出すのはアプリにマルウェア同梱して報酬貰うが如しだと思う。

  • piyolog に書かれている通り、https://url.onl.jp/ は「短縮URL」でGoogle検索すると1位に表示されていました。

    ところが、旧Twitterで、https://twitter.com/shao1555/status/1723326167258947762 がバズりました。

    このサイトには運営者情報の記載がなく、利用規約もありませんでした。ネット上の登録情報を参照すると、ムームードメインで取得したドメインと、ロリポップという安価なレンタルサーバーを利用しているようです
    (略)
    今回の攻撃についても、運営者が短縮URLの呼出回数をチェックし、市中に出回ったことを確認して転送先をフィッシングサイトに切り換えたものと思われます。

    後半部分は事実無根なのですが、Google従業員がこれを信じたのか、↑がばずってすぐに url.onl.jp はGoogle八部され、圏外に飛ばされました。

    当該サービスのトップページに「※2023/11/11:不正な広告を検知したためGoogle広告を除去しました」とあるように、
    そもそも問題のある広告はGoogleのネットワークで配信されていた上、広告除去という対処が非常に迅速におこなれたのにも関わらず、その後、onl.jp がGoogle八部から復活していません。

    ご存知のように、WebサービスはGoogle八部に遭うと収益は激減し(場合によっては10分の1以下になる)、人を雇っている場合などで継続的に人件費が発生する場合は、その維持費用が払えず閉鎖に追い込まれてしまいます。

    Googleはこのように人為的に検索結果を大きく操作するサービスであり、信頼できないし、こんな検索エンジンが独占している市場は健全ではありません。

    • by Anonymous Coward

      残業かな?

    • by Anonymous Coward

      よくわからないけどGoogleには少なくとも一部から八部まであるんですね

    • by Anonymous Coward

      独占は悪

    • by Anonymous Coward

      全部AIでやってんのかな
      ほんと適当な対応だな

    • by Anonymous Coward

      Google以上にonl.jpが信頼出来ないだろ。
      なんでリダイレクトするだけなのに、誤解される様な位置に広告出すかな?
      そもそも、表示するだけの広告で良いはずなのに、リンク可能な広告にしちゃダメだろ。
      リダイレクトを阻止するサービス設計って、自己の存在否定みたいなもん。

      まぁ、もっと悪いのは、広告が表示されるような短縮URLサービスを利用した、しょっぼい企業側。
      パートのおば/おじちゃんにでもやらせた?
      フィッシングじゃなくても、Amazonの広告が表示されたら、笑えないわ。

      さらに言えば、この件の転送先は楽天ネットスーパーだ。
      おそらく新規登録&楽天会員ログインのページからリダイレクトさせる為だけに、100文字程度のURLを短縮しようとしてやらかした。
      そんなん、楽天が用意したれよ。
      そもそも、100文字程度でポスターレベルの印刷物なら、QRコードで問題無いだろ。なんで短縮しようとした?

      見事に関係者全員がダメダメな、極めて残念な事件だな。

  • by Anonymous Coward on 2023年11月15日 19時49分 (#4564649)

    30秒ぐらいの動画広告を見るとポイントかなんかがもらえるというのがあった。
    通常の広告だと30秒ぐらい待てば右上に×印が出て、それをタップすれば
    広告が消える。ところがいくつかの広告だとその半分ぐらいの時間で左上に
    ×印が出て、それをクリックすると勝手にインストールページに飛ぶという
    ひっかけをやられた事がある。

    広告動画自体がゲームメーカーが自分で表示しているのか、Googleかなんかの
    サービスを使ってるのかは知らないけど、馬鹿らしいのでゲームを消した。
    今回の話も基本的には同じような話なのかなあ?と思ってるけどどうなんだろ?

  • by Anonymous Coward on 2023年11月15日 18時19分 (#4564601)

    広告配信してるのはGoogleなのだから、悪質広告はGoogleお得意のAI技術でも何でも使って除去して欲しい。
    こういう犯罪行為への対処を本気で行ってるようには見えない以上、Googleも犯罪の片棒をかつぐ共犯者だろう。
    Don't be evilのスローガンを破棄したのっていつだったかなぁ…。5年前?

    クレカのブランドの話でもあったけども、独占的/寡占状態のプラットフォーマーは、法律で厳しく規制すべきだろう。

    • by Anonymous Coward

      Google Adsって特定のサイトを指定して広告を出すことができる?
      短縮URLサービスが悪質な詐欺サイトと言われてたが、とばっちりだったということか。

    • by Anonymous Coward

      悪質広告のAI/人力監査よりもユーザー側の広告ブロックによる自己防衛を排除する方を優先する企業ですからねえ…

    • by Anonymous Coward

      短縮URL 全て除外しないといけないのでは。

      google が悪いのではなく、短縮URLの遷移先はすり替え可能という、短縮URLの仕組み自体の問題なのだから。

      例えば、google がチェックしたときだけ、正しいURL に飛ばして、それ以外は不正サイトに飛ばすことだって可能なのだから。

      短縮URL --> (短縮URL の指すサーバの処理) --> サーバ側の処理次第でリダイレクト先のURLを変更

      • by Anonymous Coward on 2023年11月15日 19時32分 (#4564638)

        違うよ。ちゃんとトピック読もうぜ…。

        短縮URLサービス中の広告表示が原因と考えられている

        Google Adsを含む悪質な広告が表示されることが確認された

        流れとしては、

         短縮URL --> 短縮URLサービスでの広告表示 --> サーバ側の処理次第でリダイレクト

        これが正規の流れ。
        しかし不正な広告が表示された結果、

         短縮URL --> 短縮URLサービスでの不正広告表示 --> 不正広告に誘導され詐欺サイトへ

        こうなっている。
        悪いのは不正広告が表示されてしまうadネットワークということ。
        まぁ、短縮URLサービスが悪質化した可能性は排除できないけど、トピックに悪質な広告ってあるから上記の流れだろうね。

        親コメント
        • by Anonymous Coward

          強制リダイレクト広告を排除出来れば良いのに、未だに完全排除出来ないんだよね。
          Google Adでも偶に流れてくる。

          強制リダイレクト広告で被害を受けたら、広告配信会社が一旦全ての責を負うとかにしないと自浄を期待できない状態。

  • by Anonymous Coward on 2023年11月15日 21時43分 (#4564694)

    とかなんとかいって、やれ紛らわしい文字列で偽装してないかだのホモグラフ攻撃だのとかの説明する記事をよく見るけど、そういう「URL文字列で判断する」という方法を推奨する人たちが短縮URLだのQRコードだの本来のURLを隠蔽する仕組みに何ら言及しないのは何故なんだろうか。

    • by Anonymous Coward

      だって見分けるの不可能だし、なんとかチェッカーやブラウザ拡張だいちいち確認させるのも一瞬の判断できないからめんどくさいんだよ。

      • by Anonymous Coward

        つまりITにうるさいおじさん大敗北だな
        QRコードを見つけたらカメラを向けるに対抗するには無力だった

        • by Anonymous Coward

          ブラウザは拡張でどうとでもなるけど、カメラアプリに短縮URLならブラウザを開く前に飛び先URLを見せるような作り込みは期待できないだろうしなあ。

          • by Anonymous Coward

            URL表示するだけのブラウザアプリを自分用に開発して使ってます。複数のブラウザを使い分けられて便利ですよ

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...