投稿日: 投稿者: iwbjp

短縮URLのQRコードから不正サイトへ誘導される問題と対処法

短縮URLのQRコードから不正サイトへ誘導される問題と対処法

QRコードから不正サイトへ誘導される?

先月から今月にかけて、短縮URLのQRコードから不正サイトへ誘導される事例がありました。

問題となったQRコードは学習院大学、スーパーのいなげや、オートバックスセブンなどです。

短縮URLとは

短縮URLは、長いURLを短く簡潔な形に変換するサービスです。

これを使えばURLが見やすくなり、文字数制限のある入力フォームや書類への記載などにも使えて便利です。

短縮URLは、ZIPファイルがデータを圧縮するのとは異なり、単に元のURLにリダイレクト(転送)するだけです。

例えば以下のような長いURLでも短縮URL(例: Bitly)を使用すれば短いURLに変換できます。

https://iwb.jp/html-hr-tag-separator-in-select-tags/?utm_source=feedly&utm_medium=rss&utm_campaign=html-hr-tag-separator-in-select-tags
↓
https://bit.ly/49vWs0x

URLの長さが短くなると入力しやすくなるし、QRコードにしたときにセル数が少なくなるので、読み取りやすくなります。

URL短縮前のQRコード

URL短縮前

URL短縮後のQRコード

URL短縮後

しかし、短縮されたURLは元のアドレスが見えないため、悪意のある者が不正なサイトに誘導するために使うこともあります。そのため、知らない短縮URLにアクセスする際は注意が必要です。

原因は短縮URL生成サイトの広告リンク

いずれの会社もQRコードのリンク先は正しかったのですが、オンラインツールというWebサイト内の短縮URL生成ツールを使用していました。

短縮URLのQRコードから不正サイトへ誘導される問題と対処法

このツールは短縮URLで遷移する際にGoogle Adsenseの広告を表示させていました。

ここに予期せぬ不正サイトに誘導する広告が表示されることがあり、これをクリックして遷移したリンク先を正規のWebサイトだと誤解したユーザーがクレジットカード情報を入力してしまったため被害が発生しました。

※ 下図はいなげやの説明図より引用

3社がこのURL短縮ツールを使用した理由

先月まではGoogleで「URL短縮ツール」や「短縮URLツール」で検索すると url.onl.jp の短縮URLのWebページが上位に表示されていました。

そのため、担当者はよく考えもせずにこの短縮URLツールを使用してしまったようです。

現在はWebページのHTML内に<meta name="robots" content="noindex" />という検索結果に表示されないためのタグが追加されたので、検索結果に表示されなくなっています。

また、現在はGoogle Adsenseの広告は削除されているため、同様の問題は発生しないようになっています。

そもそも、このWebサイトには企業情報などはなく、個人のWebサイトなので、企業がURLを短縮するために使用するのは好ましくないです。

しかも、この短縮URLツールは一度短縮URLを生成するとユーザー側で削除できないので問題があります。(間違えて登録しても永久にサーバーに残る)

次項で説明するBitlyだと短縮URLを生成しても、あとから削除できます。

短縮URLを生成するならBitlyが安全

短縮URLを生成するならBitlyというWebサイトをオススメします。

Bitlyはセキュリティーが安全なので金融機関などを含む大手企業が使用しています。

多機能で短縮URL生成機能だけではなく、QRコード生成機能などもあります。

https://bitly.com/

現在も使用しているWebサイト(PDF)がある

現在も url.onl.jp の短縮URLツールを使用しているWebサイト(PDF)が存在します。

QRコードに変換されると検索エンジンでは検出できないので、現在どのくらいあるのかは不明ですが、「URL短縮ツール」や「短縮URLツール」で検索すると検索結果上位に表示されていたので、ほかにも存在すると考えられます。

また、このツールは onl.jp のドメイン以外に onl.bz, onl.la, onl.sc などのドメインが存在するので、自社のWebサイト(PDF)内で使われているか検索する際は「onl.」で検索すると良いでしょう。

例えば、国立高等専門学校機構 職員募集要項というPDFには onl.sc のドメインが使用されていました。

国立高等専門学校機構 職員募集要項

※ 念のため、onl.jp, onl.bz, onl.la, onl.sc などのドメインのリンク先にはアクセスしないでください。

短縮URLは自分で作成可能

短縮URLはZIPファイルのような圧縮処理ではなくリダイレクト(転送)しているだけなので、Webサイトに簡単に仕組みを追加できます。

一番簡単なのはHTMLファイルを用意して、metaタグに以下の属性と値を付けてリダイレクトする方法です。

<meta http-equiv="refresh" content="0;url=https://iwb.jp/html-hr-tag-separator-in-select-tags/?utm_source=feedly&utm_medium=rss&utm_campaign=html-hr-tag-separator-in-select-tags">

https://iwb.jp/rd

JavaScriptの場合は、例えばURLのrパラメーターが「google」のときは「Google」、「yahoo」のときは「Yahoo! Japan」にリダイレクトさせたいときは以下のコードで実装できます。

const searchParams = new URLSearchParams(location.search)
const paramValue = searchParams.get('r')

if (paramValue === 'google') {
  location.href = 'https://www.google.com/'
} else if (paramValue === 'yahoo') {
  location.href = 'https://www.yahoo.co.jp/'
}

https://iwb.jp/rd?r=google

https://iwb.jp/rd?r=yahoo

ほかにも、サーバーサイドスクリプトや.htaccessでリダイレクトする方法などもありますので、自分のWebサイトのドメインで短縮URLを作成するのも良いでしょう。

関連する記事

  1. WebサイトにQRコードを貼る際の正しい方法と間違ったやり方

    WebサイトにQRコードを貼る際の正しい方法と間違ったやり方
  2. 阿部寛のホームページはセキュリティ問題でGmail送信不可

    阿部寛のホームページはセキュリティ問題でGmail送信不可
  3. 予定にタグを追加できるGoogle Calendar Tagsの使い方

    予定にタグを追加できるGoogle Calendar Tagsの使い方