メールやショートメッセージのフィッシング対策を行う上で、「短縮URL」や「ダイナミックDNS」と呼ばれる分野のサービスが問題になっています。
まず、短縮URL とは、Twitter などの 1 回に入力できる文字数の制限があるサービスで長い URL を投稿したい時に、URL を短いものに置き換えてくれる便利なサービスで(図1)、TinyURL(タイニィーユーアールエル)や Bit.ly(ビットリー)が有名です。
Twitter は現在では自社で短縮URL機能を提供するようになりましたが、その他の投稿できる文字数に制限があるサービスや、文字数で課金される可能性のあるサービス、例えば携帯電話のショートメッセージなどで、相手に長いURL を送信しなくてはならないケースなどでは短縮URLサービスを使いたくなります。特に最近のオンラインショッピングサイトは URL が長くなる傾向があり、自分が見つけたお気に入り商品を多くの友達に知らせたい時などには使いたくなるかもしれません。
しかし、この短縮URL は、フィッシング攻撃者にとっても非常に便利なサービスなのです。
●短縮URLはフィッシング攻撃者にとって恰好のツール
フィッシングメールの多くは本文にフィッシングサイトへ誘導する URL が入っていますが、攻撃者は、その URL に短縮URL を利用します。
迷惑メールフィルターの多くはフィッシングURL を検知する機能があります。しかし、短縮URLサービスを使えば、1つのフィッシングサイトに対して複数の短縮URL を簡単に作成することが可能ですので、1つのフィッシングURL に誘導する多くの短縮URL を作成してフィッシングメールやショートメッセージで送り、目くらましに使っているのです。
短時間に多くのフィッシングURL が作成されると、検知対策が困難になります。フィッシングURLデータベースのアップデートが間に合わなかったり、大元のフィッシングサイトにたどり着くのを困難にし、一分一秒をあらそうフィンシングURL のブロッキングやフィッシングサイトのテイクダウンなどに時間がかかってしまいます。
攻撃対象に送る URL はどんどん新しくしていきながら、同じフィッシングサイトを何度も再利用するという攻撃テクニックの 1つとして短縮URL が利用されているのです。
●短縮URLを利用する必要はあるのか
フィッシング対策を行う上でメールの本文に入っている URL は重要な情報の一つであるので、セキュリティベンダ各社は短縮URL悪用への技術的な対策を行ってはいます。しかし、上述のリスクを考えると、メールセキュリティに関わっている者としては、そもそもメールで短縮URL を利用する必要があるのか疑問であり、メールで短縮URL を利用するのはできるだけ避けるべきであると考えます。
短縮URL が流行り始めた初期にくらべて現在は、特定のサービスに限定したもの以外、攻撃者に利用されやすい汎用的な短縮URLサービスの多くは、サービス提供そのものが終了しています。
また、例えば、先に述べた Twitter や、Google Map が Map上の地点を利用する時にだけ利用できる短縮URL を提供するなど、用途と対象サービスを絞った短縮URLサービスの提供が進み、一般ユーザーが汎用的な短縮URL を利用する機会は減少しています。
●短縮URLを使ったメールは届かない?
この様な状況から、現在では、汎用な短縮URL を利用したメールやショートメッセージについてセキュリティフィルターは厳しく評価する傾向があるので、特にマーケティングメールやニューズレターメールなどに短縮URL を使うのは避けた方がよいでしょう。
一般にマーケティングメールやニューズレターは同時に多く送信されることが多いので、この送信方法がばらまき型迷惑メールに似ていることから、それだけでも受信側でのフィルタリングで評価が厳しくなります。その上に、短縮URL を利用すると評価は更に厳しくなり、顧客のメールボックスに届かない可能性が非常に高くなってしまいます。
以前とは異なり、メールのサイズを気にする必要も少なくなっているはずなので、マーケティングメールやニューズレターメールでは汎用的な短縮URL の利用はやめた方が賢明です。
●ダイナミックDNSも悪用されやすい便利なサービス
ダイナミックDNS も、短縮URL と同様の理由でフィッシング攻撃者に利用されることが多いサービスです。
ダイナミックDNS とは、主に ISP の一般ユーザー領域に接続しているパソコンなどに、ドメイン名でアクセスできるようにするサービスで、かなり前から存在しており、インターネットが今ほど危険ではなかった時代では、自宅の PC を外部のインターネットからアクセス可能にするサービスとして便利に利用されていました。
ダイナミックDNS は、グローバルな IPアドレスを特定のドメイン名に短時間で割り当てることが可能であるので、攻撃者がフィッシングサイトをどこかのホスティングサービスを利用して構築し、それのサイトにドメイン名を割り当てるのに利用されてしまいます。
弊社のラボでは、この短縮URL とダイナミックDNS の 2つを多段に組み合わせてフィッシングメッセージを送ってくる実例を観測しています。
いずれも、URL のデータベースに基づいたフィッシングの検知を難しくし、大元のフィッシングサイトを再利用しやくする為に利用されていることがわかります。
この種のダイナミックDNS では、duchdns.org が有名です。特に最近では携帯のショートメッセージでこのサービスを悪用している例が多く観測されており、duckdns.org の URL が送られてきたらまず慎重に対応した方が良いでしょう。
また、自社のブランドになりましたフィッシングにダイナミックDNS が利用されている場合などは、それぞれのサービスの Abuse Reportコンタクトに連絡して、該当URL へのアクセス停止のリクエストが必要な場合もあるでしょう。
●メールやショートメッセージで使うのはやめましょう
メールでの短縮URL とダイナミックDNS の利用に関する問題について簡単に述べてきました。どちらのサービスもとりあえずメールの本文で利用するのはやめた方がよいと考えます。百害あって一利もないからです。
ショートメッセージは文字数が限られる通信手段であるので難しいところではありますが、一般的な一対一のコミュニケーションで、ショートメッセージに汎用の短縮URL やダイナミックDNS をどうしても利用しないといけないケースが存在するとは思えません。
いずれにしても、これらのサービスが提供する URL が入ったメールやメッセージは、今後いっそう相手に届きにくくなるということは覚えておきましょう。
●参考
Bit.lyの悪用報告フォームへのリンク
https://support.bitly.com/hc/en-us/articles/231247908-I-ve-found-a-Bitly-link-that-directs-to-spam-what-should-I-do-
DuckDNSの悪用を報告するGoogleグループ
https://groups.google.com/g/duckdns
著者プロフィール
株式会社TwoFive 社長 末政 延浩(すえまさのぶひろ)
大学で通信工学を学び、1980 年代に某通信会社の研究所で開発に従事し、UNIX 4.2BSD の sendmail を使い電子メールと出会う。2000 年より Sendmail日本法人で、技術責任者を務め、2008 年に代表取締役に就任。その後、2014 年に株式会社TwoFive を創設。長年蓄積した技術力とノウハウ、国内外のネットワークを活かして、安全・安心なコミュニケーションを護るために闘い続けています。
株式会社TwoFive
国内大手 ISP / ASP、携帯事業者、数百万~数千万ユーザー規模の大手企業のメッセージングシステムの構築・サポートに長年携わってきた日本最高水準のメールのスペシャリスト集団。メールシステムの構築、メールセキュリティ、スレットインテリジェンスを事業の柱とし、メールシステムに関するどんな課題にもきめ細かに対応し必ず顧客が求める結果を出す。
