GoogleとFacebookがリンク短縮サービスに参入したことで、長いURLを扱いやすい長さに短縮するオプションが急速に増えています。短縮URLはメールでの送信が容易になり、Twitterの140文字制限にも対応できますが、セキュリティリスクも伴います。
ニーズを満たす
一部のURL、特にAmazon、YouTube、eBayなどのサイトでは、非常に長いURLが使用されていることがあります。おそらく、非常に長いURLリンクが次の行にまたがって表示されなくなってしまったメールを送受信した経験があるでしょう。その場合、URLの各部分をWebブラウザのアドレスバーに手動でコピー&ペーストして、目的のURLにたどり着かなければなりません。控えめに言っても、あまり便利とは言えません。
TinyURLのようなサービスは、より短いエイリアスURLを割り当てることでこの問題を解決しました。TinyURLを使用すると、https://www.pcworld.com/businesscenter/article/184608/report_atandt_reputation_tarnished_by_iphone_flaws.htmlというURLはhttps://tinyurl.com/yae8pvpになります。TinyURLは108文字のURLを、メールやツイートに収まる26文字に短縮します。
信頼を悪用する
リンク短縮サービスには主に2つの問題があります。1つ目は、実際のリンク先URLが表示されないため、攻撃者がスパムやフィッシング攻撃を拡散させやすくなることです。2つ目は、リンク短縮はFacebookやTwitterなどのソーシャルネットワーキングサービスで頻繁に利用されるため、リンクが正当なものであるという信頼が前提とされていることです。
上記のリンクをそのまま受け取ると、実際のリンク先ドメインがpcworld.comであることはすぐに分かります。特に、なりすましサイトやフィッシング攻撃への対策として、実際のドメインを強調表示するInternet Explorer 8ブラウザを使用している場合はなおさらです。しかし、TinyURLエイリアスではリンク先に関する情報が全く得られず、悪意のあるWebサイトに誘導される可能性があります。
攻撃者はURL短縮サービスを利用して、多くのセキュリティ対策を回避することもできます。URL短縮ドメインは、ファイアウォール、Webフィルター、スパムブロックツールによってデフォルトで信頼されるため、悪意のあるリンクを識別して排除することがより困難になります。
カーテンの裏側を見る
短縮URLをクリックする前に、そのURLがどこに繋がるのかを事前に確認しておく必要があります。そうしないと、ドライブバイダウンロードの被害に遭い、PCがボットネットに感染してしまう可能性があります。ありがたいことに、そのためのツールが利用可能です。
TwitterユーザーはTweetdeckなどのツールを利用できます。Tweetdeckには、設定で「短縮URLのプレビュー情報を表示する」オプションがあります。この設定を有効にすると、ツイート内の短縮URLをクリックすると、実際のリンク先ページのタイトルとフルURLが表示される画面が表示されます。
Twitter以外にも、同様の機能を実行するブラウザプラグインやサービスがあります。TinyURLはプレビューを有効にするオプションを提供しています。ただし、TinyURLのプレビューを使用するには、Cookieを有効にする必要があります。ExpandMyURLとLongURLPleaseはどちらも、短縮リンクの背後にある完全なURLを表示できるWebブラウザプラグインまたはアプレットを提供しています。
最近のURL短縮に関するニュースの中で、最も注目すべきニュースはおそらくBit.Ly Proの追加でしょう。Bit.Ly Proを利用することで、企業、ブログ、その他の組織は、独自かつ安全なアイデンティティを維持しながら短縮URLを利用できるカスタム短縮ドメインを登録できるようになります。
URL短縮は、今後も利用が続くであろう便利なサービスです。ただし、短縮URLに騙されないよう、常識的な判断と少しの慎重な疑いの気持ちを持って利用しましょう。
Tony Bradley は@PCSecurityNews としてツイートしており、彼のFacebook ページで連絡を取ることもできます。
