短縮URLという“根本解決できない問題”に企業はどう立ち向かえばいいのか？：半径300メートルのIT

いなげややオートバックスセブンの2次元バーコード読み取りで発生した事件には、実は根深い問題が隠れていると筆者は考えます。企業はこれにどう対処すればいいのでしょうか。

[宮田健，ITmedia]

　悩ましい事件が明らかになりました。いなげやのネットスーパー入会案内およびオートバックスの会員向けダイレクトメールで配布された2次元バーコードを読み取ったとき、想定していない画面が混入し、クレジットカード番号を入力するような予期せぬ“広告”が表示された可能性があったとのことです。

（左）いなげやネットスーパー入会案内における注意のお知らせ（出典：いなげやの公開したPDF）（右）オートバックスセブン会員様DM掲載の2次元バーコードに関するお知らせ（出典：オートバックスセブンの公開したPDF）

　これは作成した2次元バーコードの元となったURLを、自社が管理していない外部の「短縮URL作成プログラム」が実行した結果、いったん全く別のページを間に挟んだり、そもそも全く別のURLへとジャンプさせたりといった、利用者が予想していなかった挙動をするようになったものだと推察されます。

　全く別のページが間に挟まっていて、そこに広告が表示され、その広告が全く異なるWebサイトへの入会を誘導しているとしても、そもそもが「入会の案内」だった場合、気が付かずに入力してしまう可能性はあるでしょう。

　本件は2次元バーコードを使うリスクや、見知らぬ短縮URL作成プログラムを利用することだけが問題ではないようにも思えます。特に企業においては、ITでも「生殺与奪の権を他人に握らせるな」というのが重要なのかもしれません。

短縮URLという“根本解決できない問題”にどう立ち向かうか？

　「短縮URL」は、それなりに昔の時代の「X」（旧Twitter）を利用していた方であれば、何となく挙動を理解していると思います。140文字という上限文字数の中にリンク先のURLを入れるため、長いURLを短く表現するために作られたツールです。かつてはそれだけで1つのサービスがビジネスになったことからも、ニーズは大きかったことがうかがえます。

　しかし今は、少し考え方をあらためる必要があるでしょう。短くなった文字列を元の長いURLに戻すには何らかのプログラムが動く必要があり、第三者が復元することは困難です。なかなかイメージしにくいことではありますが、全ての短縮URLは、運営元が継続している必要があるのです。短縮URL文字列だけがあったとしても、それを展開するためのプログラムが消えてしまうと、元のURLにたどり着けないわけです。Xには既に、短縮URL文字列を展開するプログラムやサービスが消失し、情報がなくなってしまった投稿が多数存在します。

　加えて、短縮URLが正しく展開されるかどうかは、そのプログラムを動かしている人の胸先三寸で変化するということも理解が必要です。例えばこのプログラムを、一律でマルウェアダウンロードのURLを返すものに書き換えてしまったとしたら、一気にサイバー攻撃が可能になるでしょう。または短縮URLのサービスをマネタイズするために、怪しいバナー広告などを大量に表示するクッションページを挟んでしまうかもしれません。

　この問題の根本的な原因は「自分たちが管理できない部分に、自分たちのサービスの根幹が含まれている」ことにあります。もし本当に短縮URLのサービスが必要で、そういった悪意が絶対に含まれてはいけないのであれば、自分たちの手で短縮URLのプログラムを動かし、“永久に”メンテナンスをし続ける必要があるでしょう。そもそも、本当に短縮URLが必要なシーンが存在するのかという点も、もう一度考慮する必要があります。

　昨今大きな問題となっている「ドメイン名転売」の問題も同じ考え方ができるはずです。そもそもドメインは継続的に更新しなければならない、いわば“借り物”です。自分たち自身がドメインの指定事業者になるわけにもいきませんので、この部分に関しても本来であれば“永久に”メンテナンス、つまりドメイン名の更新をし続ける必要があります。

　企業がWebサイト制作に使っているであろうCMSや各種サーバコンポーネントだって、自分たちが開発したものではなく、オープンソースソフトウェアのものを使っているケースもあるでしょう。それらも今後、いつ開発停止するかは分かりません。クラウドサービスだって、サービス自体が終了する可能性を考えておく必要があるでしょう。

　考え始めると非常に大きな問題ですが、解決策は基本的にないと思っています。これら全てを自分たちだけで担うことはほぼ不可能です。それでも、自社が管理しきれないサービスを把握し、それらが突然悪意を持ったものに入れ替わることを、ほんの少し考えなければならないのです。

「信頼できるサービスを選ぶ」ことの難しさ

　ITの世界では、それらを「サプライチェーンリスク」と呼んでいます。とはいえ、今回の2次元バーコードおよび短縮URLのリスクは、これまで考えていたITにおけるサプライチェーンリスク対策ではカバーしきれない部分です。

　ではこれをどう防ぐか……を考えると非常に悩ましい事件です。対外的に公開する資料にURLなどが記載されていたときに、その全てを広報がチェックできたとして、広報にもこういったリスクが認識されている必要があります。しかし、さすがにこれはチェックしきれないかも……と思いました。

　いわば、短縮URL作成（およびおそらく2次元バーコード作成）部分が“シャドーIT”として使われていたことが原因になると思いますが、あまたあるそういった野良ツールの利用を防ぐソリューションを手に入れることが難しいので、やはりこれはITに関わらない人たちに対しても、「よく分からないツールを業務で使わないこと」という基本ルールを徹底するくらいしかありません。

　以前も取り上げましたが、2次元バーコードに細工することによって、ランダムで偽の情報を表示できるという神戸大学の研究もあります。一度テストして問題なかったとしても、紙に印刷して利用者が使ったときには別のWebサイトを示すかもしれないという、なかなか悩ましいお話でした。2次元バーコード一つをとっても、こういったリスクを考えなくてはならないのです。

　最近話題のゼロトラストは、しばしば「何も信用しない」と表現されてしまうのですが、正確には「アクセスのたびに、本当に正しい相手かどうかを検証すること」という考え方の方が正しいと思います。以前は信頼できていたとしても、その1秒後には信頼できない相手にすり替わっているかもしれません。この考え方はITに限らず、重要なものでしょう。

　個人としての対策は、やはり見知らぬサービスを簡単には信頼しないことです。組織としての対策は、今回のような事件を通じ知識を付け、従業員が見知らぬサービスを利用したものを使う可能性があるということを念頭に置きつつ、一般公開される前に、誰かが、どこかで指摘できるような仕組みを、必死に作るしかないかもしれません。

　身近なところではドメイン名の管理や短縮URL作成プログラムの利用、アップデートがないCMSのプラグイン、著名ではないクラウドサービス、そしてメンテナンスが成されていない／把握できていない全てのサービスが対象になるはずです。恐らく少ない数ではないでしょう。そのため従業員の立場から「これ危ないかも」と思ったものは、ぜひ管理者にその存在を教えてあげてください。把握することこそが、対処の第一歩になるのです。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。