【注意】短縮URLを利用し不正サイトへ誘導するケース多発中

　オートバックスセブンは11月13日、会員向けダイレクトメールで会員制度のリニューアルのページを案内するQRコードから、予定していない広告サイトに飛ばされる事例が発生しているとして、読み取りを行わないように呼び掛けた。一部の顧客は、カード番号など決済情報の入力を求められたという。

　また学習院大学では、5月から配布している「大学案内2024」に掲載した「受験生応援サイトintro！」のQRコードから不正なリンク先へ転送されていることが判明。QRコードを使わず、併記したURLを直接入力してほしいと呼び掛けている。

リンク先が後から変えられた？

　いずれも最初から不正なサイトに飛ばされていたのではなく、途中からリンク先が変わったとみられる。パスワード管理サービス「Keeper」の国内販売などを手掛けるZUNDA（東京都渋谷区）の澤田翔代表は、自身のXアカウント（@shao1555）で、これらのQRコードが特定の“短縮URL”サービスを利用して作られた可能性を指摘した。

　「短縮URLというのは、zipファイルや画像の圧縮のように文字列を圧縮しているわけではなく『転送電話』のように、サービスの運営者が転送サービスを実施しているにすぎません。なので、運営者に悪意があれば作成者が入力したURLと異なるページに飛ばすことも可能です。バレないように後から変えることもできるでしょう。今回の攻撃についても、運営者が短縮URLの呼出回数をチェックし、市中に出回ったことを確認して転送先をフィッシングサイトに切り換えたものと思われます」（澤田代表のポストより引用）。

　この短縮URLサービスのWebサイトには運営者情報や規約の記載がなく、安価なレンタルサーバを使用しているという。澤田代表は「出所の怪しいツールは使用を避ける」ことに加え、一般利用者に対しても「スキャンしたQRコードが短縮URLだった場合には十分に警戒」するよう呼び掛けている。

ITmedia
2023年11月15日 21時36分
https://www.itmedia.co.jp/news/articles/2311/15/news194.html