Cyber risk resources
Investigating a Shortened URL

短縮URLの調査

短縮 URL は、英数字を多用した長いリンクを短く簡潔な代替 URL に変換するのに最適です。ソーシャル メディアなどで文字数を減らしたり、メールやその他のメッセージで目の疲れを最小限に抑えたりするのに最適です。

しかし、これらの短縮 URL の 1 つをクリックすると、反対側に何があるか本当にわかりますか?また、宛先が友好的であり、悪意を持っていないことをどのように確認できますか?

この記事では、短縮 URL の一般的な誤用と、それらを調査するための実用的なヒントについて説明します。

短縮 URL の目的

多くのプログラムは、URL を使用してセッション情報 (リンクが使用されている場所やユーザーのアクセス元など) を伝達します。この「余分な」情報をすべて含めると、多くの場合、数百文字の URL になります。このため、短い URL は、プロバイダーがコンテンツを公開するための便利な方法になっています。

URL 短縮サービスは便利であるだけでなく、リンクのクリック数、時間、場所に関する有用な統計情報を提供することもできます。

Twitter や LinkedIn を利用している場合は、気付かないうちに短縮 URL を使用している可能性があります。 Twitter は t.co ドメインを使用して独自のリンクを自動的に短縮しますが、LinkedIn はプラットフォームで使用されるリンクを短縮して、見苦しい長いリンクが意味のあるテキストのスペースを占有しないようにします。また、YouTube ビデオを共有すると、提供された共有リンクが YouTube ドメイン用のものであることに気付くかもしれません。これは、自動短縮のもう 1 つの例です。

短縮 URL の誤用

フィッシング キャンペーンで使用される一般的な手法は、悪意のあるリンクを難読化して、ユーザーをだましてクリックさせ、そうでなければ簡単に見つけられるフィッシング攻撃の試みです。これらのリンクを偽装するために使用される方法の 1 つは、URL 短縮サービスを使用することです。

URL 短縮サービスは、ユーザーが提供する長いリンクを取得して短縮バージョンを作成し、2 つの間のマッピングを内部データベースで維持します。短縮 URL の例はhttps://bit.ly/3eQsUNwで、これにアクセスすると、ユーザーは長い URL https://www.blackpanda.com/post/17-july-2020-asia-cyber-summaryにリダイレクトされます。 .

ユーザーは短い URL にアクセスして長い URL にアクセスできるため、さまざまな媒体でリンクを簡単に共有できます。

リンク プロバイダーからのパッシブ インテリジェンス コレクション

多くの一般的な URL 短縮サービスが利用可能であり、それぞれが短縮された元の長いリンクを調査する独自の方法を提供しています。

まずはビットリー。短縮 URL の末尾に + 記号を追加することで、次の機能を識別できます。もう 1 つは TinyURL です。このプロバイダーから得られる情報は多くありませんが、preview.tinyurl.com/[ID] にアクセスすると、ページに移動しなくても長いリンクを特定できます。

別のサービスである Tiny.cc は、ホワイトリストに登録されたドメインの短縮 URL のみを提供します。リンクの末尾にチルダ記号 (~) を追加すると、時間の経過に伴うクリック数を確認できます。ただし、「経時的なクリック数」が正確であるか、定期的に更新されているかは確認できません。

Bit.do は、以下に示すように非常に豊富な情報を提供します。 URL の末尾に「-」(ハイフン) 記号を追加すると、次のように表示されます。

最後に、プロバイダー is.gd では、長いリンクに移動せずに表示するには、ユーザーがリンクの末尾に「-」を追加する必要もあります。

結論

上記の方法を利用すると、攻撃者のインフラストラクチャに移動することなく、攻撃で使用されるインジケーターに追加のインテリジェンスが提供されます。これは受動的な情報収集と呼ばれ、攻撃者に情報を提供したくない場合に重要な手法です。

調査中であることを攻撃者に知らせると、破壊的な攻撃が展開され、痕跡を隠すためにインフラストラクチャが焼失する可能性があります。これが発生すると、青色のチームは不意を突く要素がなくなり、この敵がどこから来ているのかわからないため、不利な立場に置かれます。アクティブな方法を使用する前に、「攻撃者がインフラストラクチャを変更した場合、攻撃者を検出するのに十分な情報を収集しましたか?」という質問をします。