短縮URLの乗っ取りに注意 56
ストーリー by nagazou
注意 部門より
注意 部門より
短縮URLサービス利用時に不正サイトへの誘導がおこなわれる事例が増えているそうだ。過去に紹介されているようなQRコードのシール上書きと行った手法ではなく、短縮URLが乗っ取られた可能性が高いという。piyologでこの問題に関する記事がまとめられている(piyolog、Haruhiko Okumuraさんのポスト、shao as a serviceさんのポスト、情報通信工学科さんのポスト)。
この事例の一つであるいなげやは11月9日、一部店舗で掲示していたQRコードにアクセスした際、予期せぬ不正サイトに誘導する広告が表示され、クレジットカード情報が盗まれる被害が発生したと公表した。短縮URLサービス中の広告表示が原因と考えられている(いなげや:ネットスーパー入会案内における注意のお知らせ[PDF])。
確認された情報によると、QRコードの短縮URLは無料のサードパーティ短縮URLサービス「オンラインツール(onl.jp)」を使用しており、このサービスではGoogle Adsを含む悪質な広告が表示されることが確認された。11月12日には広告の挿入が停止されている。
同様の事案は他の組織でも発生しており、学習院大学も不正なリンク先に転送されるQRコードを大学案内2024に掲載していたことが判明。このほかオートバックスなどでも同様の事例が起きていたとしている。いなげやは短縮URLの利用について再点検を行うことを推奨している(学習院大学リリース、オートバックスセブンリリース[PDF])。
確認された情報によると、QRコードの短縮URLは無料のサードパーティ短縮URLサービス「オンラインツール(onl.jp)」を使用しており、このサービスではGoogle Adsを含む悪質な広告が表示されることが確認された。11月12日には広告の挿入が停止されている。
同様の事案は他の組織でも発生しており、学習院大学も不正なリンク先に転送されるQRコードを大学案内2024に掲載していたことが判明。このほかオートバックスなどでも同様の事例が起きていたとしている。いなげやは短縮URLの利用について再点検を行うことを推奨している(学習院大学リリース、オートバックスセブンリリース[PDF])。
他人のコンテンツが自分のコンテンツを覆う事を許容出来るメンタル (スコア:4, すばらしい洞察)
こういうネタがある度に毎回書いてる気がするけど、自分のコンテンツに対して誇りが無さ過ぎる。
広告に「このサイト詐欺です、被害受付はこちら」とかリンク張られる可能性あるのに、何も対策せず広告受け入れるなんて、どういうプロ意識なんだろ。
どこのサイトとは言わないけど、広告ならきっちり「以下広告枠(本サイトは広告費で運営されています)」って記載しろよ。
広告が挿入される事が分かってるのに、ちゃんと表示しないのは、広告による悪事に加担してるのと同じって気付かないと。
特にスマホ向けサイトのオーバーラップ広告は、WEBサイト側も悪意を持って導入してるとしか思えない。
閲覧者が被った不利益を、全部掲載サイト側に負担させるようにしたら直ぐに止めるでしょ。
Re: (スコア:0)
広告とわかったら誰もクリックしない
記事の続きに見せかけてクリックさせようとしてるわけよ、飛ぶ先を知らずに
>特にスマホ向けサイトのオーバーラップ広告は、WEBサイト側も悪意を持って導入してるとしか思えない。
積極的にやってるでしょ、儲かるから
Re: (スコア:0)
だから責任をコンテンツ提供者にも負ってもらえばすぐになくなるのでは?
という話だと読み取りました。
QRコードはURLの長さ関係なくね? (スコア:1)
なんで短縮URL使ってんだろう。
Re: (スコア:0)
URLが長くなれば、QRコードのセル数が増えて、
印刷やページでの表示も大きくしないといけなくなりませんか?
Re:QRコードはURLの長さ関係なくね? (スコア:4, 参考になる)
ドメイン部分はしゃあないにしても「https://srad.jp/HugaHoge」で「https://security.srad.jp/story/23/11/14/1345253/」にアクセスできるようになってりゃ十分でしょ。
Re: (スコア:0)
運用チームに依頼かけるより、手元のパソコンでチャチャっと済ませたいとかでしょ
広報とか企画の人間ならそもそもそんな事知らなくても不思議じゃないし
Re: (スコア:0)
かけちゃうの?
Re: (スコア:0)
ざるの方がええんや
Re:QRコードはURLの長さ関係なくね? (スコア:1)
QRコードのサイズが大きくなっても、
誰も困らないような気がする。
A2に印刷しないとドットが判別できないような
サイズにするには何文字あればいいんだろう。
Re: (スコア:0)
面積広いと邪魔だろ? 特に印刷物だとQRコードだけが目的ではないので。
だからといって、小さく印刷してしまうと、認識しづらくなる。
必要性があってそのサイトに行くのなら頑張って認識させるが、単なる広告とかだと、認識しなかったらすぐ諦めるよね…。
※自分はブラウザにURLをQRコードにするプラグイン入れてて、Amazonとかで気になったのがあるとスマホで読み込んでるけど、大きなQRコードは認識失敗するケースが多々ある。手動でURL削ってリトライしたり…。
Re: (スコア:0)
ChromeやEdgeの場合、表示しているページのURLならプラグインすらいらん。リンクとかだと一手間かかる。
#仕事で、任意の文字列のQRコードを作るのによく使っている。
Re: (スコア:0)
そうかQRコードか。
twitterなんかではHTMLも冗長な上いらんもん色々付けて送ってくるのにURL程度短縮したところで意味ないだろとずっと思ってた。
短縮URLにも使いどころはあるんだな……
Re: (スコア:0)
試しに、いなげやの件の短縮URLから辿り着いた元のURL文字列をQRコードにしてみたのですが、拡大しないと認識できねぇってほどセルが多いわけでもなかったですね。
むしろ本当に、なんで短縮にしたのか理解に苦しむのですが…
Re: (スコア:0)
押し売り営業マンに騙されたんだろ
Re: (スコア:0)
印刷屋さんからチェック用原稿がFAXで届く事になってたのかも(妄想
Re: (スコア:0)
短縮にはアクセス解析機能がついてたものがあるんだけど
既に短縮を使ってアクセス解析の運用をしていた場合
QRでも使う意味はあるかと
QRでもアクセス解析は出来ると思うけど
わざわざ運用を変える必要はないですからね
広告として使っていたなら、クリック数やそのリンクから入った人がどれだけ契約したかなど
そういうのをアクセスログから計算して担当者に報告するシステムが既に社内にあるはずですからね
ちなみに昔それを手作業でやらされてたwスクリプト組んで簡単にできるようにはしてたけど
毎回やらされるのは面倒だからWebから自動的に見れるようにしてあげたけど
乗っ取り? (スコア:1)
乗っ取りというと、作った後でリンク先がすげ替えられたような印象だけど、そうなの?
単に、短縮URLのQRコードを無料で作りますが無料な代わりに広告を挟んでから指定のページへ飛ぶような短縮URLになります、っていうサービスの正常な動作ではなく?
短縮URLにしてからQRコードってだけ聞くとサービスとして意味不明だけど、広告を挟むためというビジネスモデルなら納得出来る。使う奴は情弱過ぎるだろとは思うが。
Re:乗っ取り? (スコア:1)
「乗っ取り」って言葉があやふやなせいで誤解が生じてると思うけど、これってスクリプトの権限の話で、やっぱり不正な動作だと思うよ。ダイヤモンド・オンラインの広告とかでも時々あるんだけど、本来は雑誌社が紙面の脇に広告を掲載している「つもり」で、スクリプトのリダイレクトを許して乗っ取られてることがある。しかも、広告自体がランダムだから、再現性が低くて問題を認識してない疑いすらある。
これと同じ現象だとしたら、本来はリンク先を表示する遷移画面の脇に広告を掲載している「つもり」で、広告が余計なスクリプトを挟むせいでリンク先ではなく、広告が誘導する先に飛んでしまう、という事だと思う。
そもそも、コンテンツ側は広告主にスクリプトの実行を許すべきではないんだけど、そこを理解していないコンテンツ側が多すぎて、エコシステム全体が汚染されている。
Re:乗っ取り? (スコア:1)
元記事読んだ?
別にスクリプト的に乗っ取られたとかじゃなく、
短縮URLサービスが普通はリダイレクトするんだけど、広告見せるため(利益得るため)にそのサービスのページを表示することがある、と。
で、そこに不正な広告表示が出て、「START」とか「ここから手続き」みたいな表示を出して、本来飛ぶべきページではなく不正広告のページへ変遷させる、というだけ。
広告画像の騙し手法だね。
悪いのはGoogleだと思う。誤解させるような画像やテキストを表示させる広告は悪でしょ。
それくらい得意のAIでブロックしろよと。
Re: (スコア:0)
onl.jpは短縮URLに広告挟むビジネスモデルで、その広告が不正なものだったっていう話よなおそらく。
広告出してるところが悪い。
Re: (スコア:0)
広告出稿業者「そうやって自分の無知を棚に上げて人のせいにする
わけがわからないよ」
Re: (スコア:0)
「乗っ取り」は奥村氏のポストからの引用だろうけど、誤解というかよく調べずちょっと思っただけだろうなあ。
nagazou氏少し気を遣ってくれぬか。
Re: (スコア:0)
もともと短縮URLは無料だろうが有料だろうが、あくまでも有効期限付きのサービスであって再利用・カブリが発生しうるという認識だったのだがそうではないのか?
世の中ではそれほど短縮URLは信頼されてるの?
Re: (スコア:0)
その認識は初耳だな
Re: (スコア:0)
一定条件でリンク先をフィッシングサイトに切り替えてたのではって話もある。
基本はバレないように本来のリンク先で、何かしらの条件を満たしたやつだけすり替え。
広告をクリックしてとんだだけって可能性もあるけど、本来のリンクがわかりにくく、
本来のリンク先を偽装したフィッシングサイトに飛ぶのなら問題としては大差ないかな。
そもそも全画面クリックエリアとかすら広告クリックの扱いだったりするし……
短縮してQRコード作るのはセルサイズ広げるためには結構有効なんで、
「短縮サービスの選択が間違っていた(悪意あるサービスだった)」というだけの問題かな。
本当は各社自前のサイト内に短いURL用意するのが正攻法。
あと、意識的に短縮URLに広告挟んでリンク作成者がキックバックを得るサービスとかもあるっぽいけど、
あまりに無法地帯なんで企業でそこに手を出すのはアプリにマルウェア同梱して報酬貰うが如しだと思う。
Google は onl.jp を冤罪でGoogle八分していまだに復活せず (スコア:1)
piyolog に書かれている通り、https://url.onl.jp/ は「短縮URL」でGoogle検索すると1位に表示されていました。
ところが、旧Twitterで、https://twitter.com/shao1555/status/1723326167258947762 がバズりました。
このサイトには運営者情報の記載がなく、利用規約もありませんでした。ネット上の登録情報を参照すると、ムームードメインで取得したドメインと、ロリポップという安価なレンタルサーバーを利用しているようです
(略)
今回の攻撃についても、運営者が短縮URLの呼出回数をチェックし、市中に出回ったことを確認して転送先をフィッシングサイトに切り換えたものと思われます。
後半部分は事実無根なのですが、Google従業員がこれを信じたのか、↑がばずってすぐに url.onl.jp はGoogle八部され、圏外に飛ばされました。
当該サービスのトップページに「※2023/11/11:不正な広告を検知したためGoogle広告を除去しました」とあるように、
そもそも問題のある広告はGoogleのネットワークで配信されていた上、広告除去という対処が非常に迅速におこなれたのにも関わらず、その後、onl.jp がGoogle八部から復活していません。
ご存知のように、WebサービスはGoogle八部に遭うと収益は激減し(場合によっては10分の1以下になる)、人を雇っている場合などで継続的に人件費が発生する場合は、その維持費用が払えず閉鎖に追い込まれてしまいます。
Googleはこのように人為的に検索結果を大きく操作するサービスであり、信頼できないし、こんな検索エンジンが独占している市場は健全ではありません。
Re: (スコア:0)
残業かな?
Re: (スコア:0)
よくわからないけどGoogleには少なくとも一部から八部まであるんですね
Re: (スコア:0)
独占は悪
Re: (スコア:0)
全部AIでやってんのかな
ほんと適当な対応だな
Re: (スコア:0)
Google以上にonl.jpが信頼出来ないだろ。
なんでリダイレクトするだけなのに、誤解される様な位置に広告出すかな?
そもそも、表示するだけの広告で良いはずなのに、リンク可能な広告にしちゃダメだろ。
リダイレクトを阻止するサービス設計って、自己の存在否定みたいなもん。
まぁ、もっと悪いのは、広告が表示されるような短縮URLサービスを利用した、しょっぼい企業側。
パートのおば/おじちゃんにでもやらせた?
フィッシングじゃなくても、Amazonの広告が表示されたら、笑えないわ。
さらに言えば、この件の転送先は楽天ネットスーパーだ。
おそらく新規登録&楽天会員ログインのページからリダイレクトさせる為だけに、100文字程度のURLを短縮しようとしてやらかした。
そんなん、楽天が用意したれよ。
そもそも、100文字程度でポスターレベルの印刷物なら、QRコードで問題無いだろ。なんで短縮しようとした?
見事に関係者全員がダメダメな、極めて残念な事件だな。
以前やった事のあるとあるゲーム (スコア:1)
30秒ぐらいの動画広告を見るとポイントかなんかがもらえるというのがあった。
通常の広告だと30秒ぐらい待てば右上に×印が出て、それをタップすれば
広告が消える。ところがいくつかの広告だとその半分ぐらいの時間で左上に
×印が出て、それをクリックすると勝手にインストールページに飛ぶという
ひっかけをやられた事がある。
広告動画自体がゲームメーカーが自分で表示しているのか、Googleかなんかの
サービスを使ってるのかは知らないけど、馬鹿らしいのでゲームを消した。
今回の話も基本的には同じような話なのかなあ?と思ってるけどどうなんだろ?
Re:以前やった事のあるとあるゲーム (スコア:1)
短縮URLの一意の飛び先をちょいとハックされたって話なんで、ランダム広告とは全く関係ないですね。
Re: (スコア:0)
関係無いと思うよ
Re: (スコア:0)
セブンイレブンアプリの広告が触らなくても勝手にGoogleプレイストアアプリに遷移するので、そっちの方が近いかも
Googleの方を取り締まったら? (スコア:0)
広告配信してるのはGoogleなのだから、悪質広告はGoogleお得意のAI技術でも何でも使って除去して欲しい。
こういう犯罪行為への対処を本気で行ってるようには見えない以上、Googleも犯罪の片棒をかつぐ共犯者だろう。
Don't be evilのスローガンを破棄したのっていつだったかなぁ…。5年前?
クレカのブランドの話でもあったけども、独占的/寡占状態のプラットフォーマーは、法律で厳しく規制すべきだろう。
Re: (スコア:0)
Google Adsって特定のサイトを指定して広告を出すことができる?
短縮URLサービスが悪質な詐欺サイトと言われてたが、とばっちりだったということか。
Re:Googleの方を取り締まったら? (スコア:2)
https://support.google.com/google-ads/answer/6366577?hl=ja [google.com]
https://support.google.com/admanager/answer/7128958?hl=ja [google.com]
https://developers.google.com/authorized-buyers/rtb/openrtb-guide [google.com]
この辺ですかね。いわゆる"広告"の出稿側の詳細はオンラインで語られないのでよく分からないんですよね。
Re: (スコア:0)
サイト名とかをキーワードにして出せるのかもね。
Re: (スコア:0)
できるんじゃないかなぁ。
ソフトウェアのダウンロードページに「ダウンロード」とだけ書いた広告貼ったり、性格診断のサイトに「診断開始」ってボタンの広告出したりしてるし。
Re: (スコア:0)
悪質広告のAI/人力監査よりもユーザー側の広告ブロックによる自己防衛を排除する方を優先する企業ですからねえ…
Re: (スコア:0)
短縮URL 全て除外しないといけないのでは。
google が悪いのではなく、短縮URLの遷移先はすり替え可能という、短縮URLの仕組み自体の問題なのだから。
例えば、google がチェックしたときだけ、正しいURL に飛ばして、それ以外は不正サイトに飛ばすことだって可能なのだから。
短縮URL --> (短縮URL の指すサーバの処理) --> サーバ側の処理次第でリダイレクト先のURLを変更
Re:Googleの方を取り締まったら? (スコア:1)
違うよ。ちゃんとトピック読もうぜ…。
流れとしては、
短縮URL --> 短縮URLサービスでの広告表示 --> サーバ側の処理次第でリダイレクト
これが正規の流れ。
しかし不正な広告が表示された結果、
短縮URL --> 短縮URLサービスでの不正広告表示 --> 不正広告に誘導され詐欺サイトへ
こうなっている。
悪いのは不正広告が表示されてしまうadネットワークということ。
まぁ、短縮URLサービスが悪質化した可能性は排除できないけど、トピックに悪質な広告ってあるから上記の流れだろうね。
Re: (スコア:0)
強制リダイレクト広告を排除出来れば良いのに、未だに完全排除出来ないんだよね。
Google Adでも偶に流れてくる。
強制リダイレクト広告で被害を受けたら、広告配信会社が一旦全ての責を負うとかにしないと自浄を期待できない状態。
怪しいURLの見分け方 (スコア:0)
とかなんとかいって、やれ紛らわしい文字列で偽装してないかだのホモグラフ攻撃だのとかの説明する記事をよく見るけど、そういう「URL文字列で判断する」という方法を推奨する人たちが短縮URLだのQRコードだの本来のURLを隠蔽する仕組みに何ら言及しないのは何故なんだろうか。
Re: (スコア:0)
だって見分けるの不可能だし、なんとかチェッカーやブラウザ拡張だいちいち確認させるのも一瞬の判断できないからめんどくさいんだよ。
Re: (スコア:0)
つまりITにうるさいおじさん大敗北だな
QRコードを見つけたらカメラを向けるに対抗するには無力だった
Re: (スコア:0)
ブラウザは拡張でどうとでもなるけど、カメラアプリに短縮URLならブラウザを開く前に飛び先URLを見せるような作り込みは期待できないだろうしなあ。
Re: (スコア:0)
URL表示するだけのブラウザアプリを自分用に開発して使ってます。複数のブラウザを使い分けられて便利ですよ