危険な短縮URLを踏まないための3つのヒント

2011/06/20

サイバー犯罪者は、日々新たな手法を犯行手口に取り入れており、ウイルス感染や個人情報が盗まれる可能性は、ますます高くなっています。その中でも一般的な手口として、短縮URL(Webアドレス)を利用するものがあげられます。サイバー犯罪者は、マルウェアや悪質なWebサイトのリンク先を隠すため、人気のあるタグや最近の出来事を悪用し、Twitter、Facebookなどといったソーシャルメディアにリンクを投稿し、罠を仕掛けます。ソーシャルメディアでニュース検索すると、危険なリンクが検索結果に表示され、誰もが簡単に罠にかかる可能性があります。このように短縮URL はWeb サイトのリンク先を隠すことができるため、今後この手法の攻撃はさらに増加すると思われます。

「この面白い動画をチェックして」と書かれているメールやメッセージを受け取った際、そのクリック対象URLがhttp://let-me-give-you-a-nasty-virusだとしたら、ユーザーはそのリンクをクリックしないでしょう。しかし、もしURLがhttp://bit.ly.12xtdfのように短縮されていたら、全く同じ悪質なサイトに飛ばされるにもかかわらず、クリックしてしまうユーザーは少なからずいることでしょう。そして、サイバー犯罪者はその機会を常に狙っています。

短縮URL詐欺の主な流れは、以下の通りです。サイバー犯罪者は、検索サイトで、最近の話題や流行を調べます。その後、ユーザーの興味を引き付けるキーワードを使用して悪質なリンクを作成し、bit.ly、TinyURLのようなURL短縮サービスを利用してリンクを短縮し、実際のリンク先を隠します。その後、その危険なリンクが含まれたメールやメッセージを投稿します。ユーザーがリンクをクリックすると、パスワードを盗み出すトロイの木馬やスパイウェアなど、危険なソフトウェアがPCにインストールされる可能性があります。また、マルウェアが組み込まれた偽のWebサイトに誘導され、個人情報や金銭を要求される可能性もあります。

短縮URLにマルウェアを隠すという手法は、決して新しいものではありません。サイバー犯罪者は、好奇心の強い人や様々なニュースに関心がある人たちを騙すため、関連する内容のフィッシングメールを送信したり、ソーシャルメディで偽のアカウントを作成し、人気のあるキーワードや話題についての悪質なリンクを作成したりします。大きなニュースとなるイベントやスポーツ、災害などは、その多くがきっかけに悪用され、取り上げられるトピックは話題の変化に合わせてすぐに変化します。

これらの脅威から身を守り、安全にネットサーフィンを行うためには、焦らずに注意を怠らないことが必要です。安全なサイトだと思っても、マルウェアの可能性があるため、短縮URLをクリックするときは十分に注意してください。その際に重要な3つのヒントを紹介します。

  1. メールもしくはメッセージの送信者をチェックする。送信者が知人かどうか、あるいは自分が購読を申し込んだ発信元であるかどうかを確認してください。
  2. 銀行やクレジットカード会社など、金融機関からのメッセージに掲載されているリンクは、絶対にクリックしないでください。犯罪者は、金融機関をはじめとして、正規の団体を装ったメールや偽Webサイトを作成し、ユーザーを罠に仕掛けます。アドレスを手入力するか、自分のブックマークを利用することを推奨します。
  3. 短縮URLにアクセスする際は、Webサイトのアドレス全体を見ることができるURLプレビューツールなどを使用すると良いでしょう。特にソーシャルメディアの場合、リンクのプレビューを確認することなくアクセスすることは、絶対に避けてください。

なお、短縮URLを作成する際は、マカフィーのセキュア短縮URLサービス「mcaf.ee」を使用してください。このサービスでは、Webサイトの安全性を確認した上でURLを生成します。対象サイトが危険な場合は、サイト閲覧の中止も警告します。また、対象Webサイトの安全性評価も3色の色別で行います。「安全なサイト(緑)」はそのまま対象ページを表示しますが、「疑わしいサイト(黄)」は警告とページへのリンクのみを表示、「危険なサイト(赤)」の場合はURLを入力しない限り、そのサイトを表示できないようブロックします。

マカフィーのセキュア短縮URLサービスで生成されたURLは、「http://mcaf.ee/―」の形式で生成されます。セキュア短縮URLサービス「mcaf.ee」について詳細は、下記ページをご覧ください。
http://www.mcaf.ee/

マカフィー、セキュア短縮URL サービス「mcaf.ee」のアップデート版を公開〜ソーシャルメディアで安全なURL を共有すると共に、Web サイトの評価機能を強化 (2011年5月17日プレスリリース)