迷惑メッセージに悪用される短縮URLのチェック（t.co）

• 迷惑メッセージの中のリンクに、Xの短縮URL（t.co）が使われていました。
• Xでは短縮URLを生成するときに、「危険なサイトリスト」に含まれていたら、警告メッセージを付けたり、ブロックしたりしています。
• また、ブラウザ側でも閲覧前にGoogleやAppleが持つ「危険なサイトリスト」と照合して警告を出します。

1. 短縮URLから偽サイトへ誘導された

最近、配送業者を装ったショートメッセージがありました。

ふと偽ページに誘導するリンクを見ると、「https://t.co/〜」で始まっていました。
X（あるいはTwitter）の短縮URLが使われているのです。

「短縮URL」は、元のURLを短く簡潔にするための仕組み。
長いURLを短くして文字数制限のあるメッセージで共有しやすくするためです。

しかし、「短縮URL」は、偽サイトなどに誘導するのに悪用されることもあります。
短縮URLを見てもリダイレクト先のURLがわからないので、アクセスするまで詐欺に気づきにくくなるからです。

1.1. 不審なサイトはタブを閉じる

ログインページのアドレスバーを確認して、不審なURLならタブを閉じます。

2. 短縮URLに対するチェック機構の必要性

短縮URLのシステム側で対策は取れないの？

短縮URLの悪用を防ぐには、主に3つの方向性があります。

1. 短縮URL発行者の認証
2. 短縮URLサービスによる自動チェック
3. ユーザーによる報告システムの整備

まず、t.coの短縮URLの場合、作成するには XでURLを含めた投稿をする必要があります。
そのため、Xアカウントが必要です。
悪用するアカウントは、利用停止や強制退会にすることができます。

2.1. リンクの警告やブロック

また、t.coには警告やブロックの仕組みもあります。¹。

URLをXのリンクサービスで変換すると、危険性のあるサイトのリストと照合されます。
もし、危険なサイトだった場合は、利用者がクリックした場合に移動前に警告メッセージを表示するのです²。

「ブロック」はより重い対応です。
投稿はエラーになり、短縮URLが発行されません³。

このリンクはXまたはパートナーによって有害なウェブサイトと認識されているため、操作を実行できません。

2.2. Xの「危険なサイト」の判断材料

Xでは、リンクへの対応の判断材料としては、以下のような情報源を参照しているようです⁴。

• スパムやマルウェア対策の協力企業
• 業界の同業者や信頼できるNGOのパートナーと共有する協働情報
• 社内技術およびツール
• ツイートの報告

つまり、投稿上の短縮URLを通じて危険なサイトに誘導されたときには、ユーザーがそのURLを含めて報告できます。

ただし、現状では、このような短縮URLに対するチェック機構が不十分なのかもしれません。

3. ブラウザによるURL監視とプライバシーの問題

一方、現時点ではURLの自動チェックは、ブラウザ側でなされています。

たとえば、iPhoneのブラウザ Safariには「詐欺 Web サイトの警告」という機能があります。

マルウェア Web サイトの警告

このWebサイトは、危険なソフトウエアをインストールして、コンピュー夕に危害を加えたり個人情報 （パスワード、写真、クレジットカード番号など）を盗もうとしたりする可能性があります。

Chromeにも同様の機能があり、「危険なサイト」という警告が表示されます。

危険なサイト

アクセスしようとしているサイトでは、攻撃者がユーザーを騙してソフトウェアをインストールさせたり、パスワード、電話番号、クレジットカード番号などを開示させたりする可能性があります。

3.1. ブラウザはどうやってアドレスをチェックしているの？

ブラウザが危険なURLじゃないか監視してくれるんだね。
警告を表示してくれるのは安心だけど、これって私が見るサイトを逐一チェックしているだよね。
プライバシーの面では大丈夫なの？

確かに、閲覧しようとするアドレスの情報は、外部であるGoogleやAppleに送られます。

しかし、アドレスをそのまま送るのはプライバシー上問題があります。
そこで、このときに「ハッシュ化」という処理を行います。

• 事前にGoogleやAppleは、不審なサイトのアドレスをハッシュ値のリストに登録しています。
• ユーザーが検査してほしいアドレスを送ると、そのハッシュ値がリストにないか照合します。

事前登録されたサイトアドレスであればヒットします。
しかし、そうでなければユーザーがどのアドレスを閲覧しようとしているのかわからない仕組みになっているのです。

もちろん、厳密に考えると、この仕組みでは「Google」や「Amazon」といった特定のアドレスのハッシュ値を持って、そのサイトへの接続状況を監視することが可能だと言えないことはありません。

とはいえ、プライバシーとセキュリティのバランスを考えると、URL監視は有効な仕組みだと思います。

こちらもどうぞ。

迷惑メッセージを受信拒否したい 【SMSのブロック】

スマホに変なメッセージが届いたんだけど、気持ち悪いです。ショートメッセージ（SMS）は、電話番号だけで送ることができるので、迷惑メッセージが来ることも多いです。SMSの「ブロック」の仕方を練習してみましょう。試した環境BASIO3、「＋メッセージ（SMS）」アプリSMSに届いた迷惑メールスマートフォンの「＋メッセージ（SMS）」アプリに通知があるので、見てみると見慣れない電話番号です。内容は、出会い系サイトのようなメッセージに、URLアドレスがあります。〜さんからのメッセージ...

chiilabo.com

「Google による電話番号の確認」は迷惑メッセージなの？（goo.gl）

「Google によく電話番号の確認」というSMSは、迷惑メッセージではないかもしれません。Androidスマートフォンは、定期的にバックグラウンドでGoogleサーバと電話番号確認の処理をしているからです。そのときに、このSMSを受信しています。ただし、とくにリンクを押すなどの操作をせずとも、確認処理は完了しています。放っておいて問題ありません。裏でこそこそ確認をしてるなんて、なんか不思議だね。一見「怪しい」リンクで、この電話番号確認の必要性について説明してはいるのですが…...

chiilabo.com

lin.eeアドレスの「LINE」の招待？ 【公式アカウントの友だち追加】

lin.eeの短縮アドレスは、LINE公式アカウントで使われています。ただし、LINEの「友だち登録」を集める迷惑メッセージの場合もあるので、注意が必要です。

chiilabo.com

「S/MIME方式」とは？（メールの暗号化と署名）

「S/MIME」は、メールの内容を暗号化したり、送信者の電子署名を付加したりすることで、メールの機密性と整合性を守る技術です。基本的には利用者のメールソフトで対応する必要があります。メールの傍受や改ざんを防ぎたいもともとメールは平文で送信されたため、通信路上で内容を盗み見られる可能性があります。また、送信者が本物かどうかの確認も難しいのが実情です。S/MIMEはこれらの問題を解決し、安全なメール送受信を可能にします。S/MIMES/MIMEは、「Secure / Multip...

chiilabo.com

1. Xのリンクサービスで変換されたリンクは、危険性のあるサイトのリストと照合されます。利用者が危険性のあるリンクをクリックした場合には、以下の警告メッセージが表示されます。- Xのリンク短縮機能（t.co）とその仕組み | Xヘルプ 
2. Xでは、安全でない可能性のあるリンクに対して警告を表示する場合があります。警告をクリックすることで、そのサードパーティーのウェブサイトに移動できます。リンクが警告を表示する基準を満たしていると判断された場合は、X上での公開が制限されます。 – リンクをブロックするための取り組み | Xヘルプ
3. リンクがブロックされた場合、そのリンクをツイート、ダイレクトメッセージ、またはプロフィールに含めようとするとエラーメッセージが表示されます。メッセージは次のとおりです: 「このリンクはXまたはパートナーによって有害なウェブサイトと認識されているため、操作を実行できません。詳細はヘルプセンターをご覧ください。」
4. リンクの特定方法 – リンクをブロックするための取り組み | Xヘルプ

QRコードを読み込むと、関連記事を確認できます。