短縮URLサービス利用時に不正サイトへの誘導がおこなわれる事例が増えているそうだ。過去に紹介されているようなQRコードのシール上書きと行った手法ではなく、短縮URLが乗っ取られた可能性が高いという。piyologでこの問題に関する記事がまとめられている(piyolog、Haruhiko Okumuraさんのポスト、shao as a serviceさんのポスト、情報通信工学科さんのポスト)。
この事例の一つであるいなげやは11月9日、一部店舗で掲示していたQRコードにアクセスした際、予期せぬ不正サイトに誘導する広告が表示され、クレジットカード情報が盗まれる被害が発生したと公表した。短縮URLサービス中の広告表示が原因と考えられている(いなげや:ネットスーパー入会案内における注意のお知らせ[PDF])。
確認された情報によると、QRコードの短縮URLは無料のサードパーティ短縮URLサービス「オンラインツール(onl.jp)」を使用しており、このサービスではGoogle Adsを含む悪質な広告が表示されることが確認された。11月12日には広告の挿入が停止されている。
同様の事案は他の組織でも発生しており、学習院大学も不正なリンク先に転送されるQRコードを大学案内2024に掲載していたことが判明。このほかオートバックスなどでも同様の事例が起きていたとしている。いなげやは短縮URLの利用について再点検を行うことを推奨している(学習院大学リリース、オートバックスセブンリリース[PDF])。
| セキュリティ
| インターネット
| アナウンス
|
関連ストーリー:
新幹線のテーブルにスマホを置くとJR東日本のECサイトが勝手に開く
2023年06月15日
QRコードにレーザーを照射し、任意の時間帯だけ別URLへ誘導するハック
2023年03月28日
写真の指定部分をQRコード化するWebアプリ
2023年03月24日
カタログギフトにURLをlocalhostで印刷するミス
2022年12月29日
英携帯キャリアThree、SMSフィッシングへの注意を呼び掛けるフィッシング風SMSを顧客に送る
2020年07月09日
goo.gl終了のお知らせ
2018年04月02日
URL短縮サービスp.tlが終了、888万件以上のアドレスが無効に
2017年09月19日
Source: スラッシュドット
