短縮URLはやはり安全ではないという話
「オリジナル3Dモデル『リズ』」を UJU で購入しました! https://t.co/HWLEtmbOJK #booth_pm
— かやのみちゃ🍡 (@kayanomicha) 2023年4月17日
上記のXの投稿とかについてるサムネ付き画像リンクの短縮URLによるエグいトラップの話。
Xに投稿する際に、ユーザはURLを貼り付けるだけでXは自動的にURLのサムネイル画像をくっつけてくれる。自分でこのURLのサムネは…とかスクショしなくていいわけだ。
この「自動」というのを詳しく言ってみると
X側がオートでWebページにアクセスしてサムネ画像を作ってくれる。
なので、ユーザ側としては「みんな」そうやってサムネ画像付きURLを生成していると考える。危機感はないはずだ。だって自動でXがやってくれることだから。
ところが悪い人がいて、
「X側がオートでWebページにアクセスしてサムネ画像を作る」
この部分をXが自動でやってきたか、それとも本物のユーザがやってきたかで処理を振り分けるようにした。
Xがやってきたときは大手の新聞社の読売とか日経とかにアクセスさせる。
すると日経新聞でこんなニュースが!というサムネ画像が生成される。
で、ユーザが来たとわかったら違うウイルスサイトへと誘導させることもできるわけだ。
もっと悪用すればAmazonセールだよ!と言って本物のAmazon商品のサイトのサムネを作成しつつ、フィッシングサイト誘導も可能だろう。
現代のブラウザはかしこいし、ウイルス対策ソフトも進化してるので、フィッシングサイトはすぐにアクセスできないようブロックされるわけだが、SNSは拡散力が高く、流行りたてのころだと、ブロックが間に合わないこともあるだろう。
対策としてはX側が例えばランダム化してアクセステストするとか、短縮URLの仕様変えるとか、そういう振り分け検知とかをやることだが…難しいだろう、今の体制からすると。今後どうなるんだろうか。