piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

短縮URLサービス利用時に表示された悪質な広告についてまとめてみた

2023年11月9日、いなげやは同社一部店舗で掲示していたポスターなどに記載されたQRコードへアクセスした際、予期せぬ不正サイトに誘導する広告が表示され、クレジットカード情報が盗まれる被害が発生したと公表し注意を呼びかけました。ここでは関連する情報をまとめます。

短縮URLサービス中の広告表示を起因とした事案か

  • いなげやはネットスーパーの入会案内として、入会用サイトへアクセスさせるため店頭展示していたポスターや配布していたチラシにQRコードを掲載していた。このQRコードを読み込んだ際に、予期せぬ不正なサイトに誘導する広告が表示される場合があり、今回この不正なサイトを通じてクレジットカード情報を盗まれる事案が発生したとして顧客に対して注意を呼び掛けた。また万一クレジットカード情報を誤って入力するなどしてしまった際はカード会社に連絡を取るようあわせて案内を行っている。*1
  • 同社が公表した資料中の説明、および掲載されていた「予定していない入会サイトの事例」の図より、QRコードの読込先として記載されていたURLは無料で利用可能なサードパーティの短縮URLサービス「オンラインツール (onl.jp)」を使用していたとみられる。このサービスでは短縮先として指定されたURLへ遷移する前に当該サービスの読込ページが表示される場合があり、このページ中使用されているGoogle Adsより11月10日時点では「Start」や「OK」などと誤ってつい押してしまいそうな悪質な広告が配信される場合があることをpiyokangoも確認した。この悪質な広告に対してそのまま操作を進めると「モバイルアクティベーションをする必要がある」などと何らかの入会などを装うサイトに接続し、クレジットカード情報の入力画面に誘導される。

当該短縮URLサービスにおいてpiyokangoが確認した表示例(現在は広告挿入は行われていない)

  • 発端となったとみられるオンラインツール (onl.jp)は同ドメイン上で遅くとも2018年頃より開設されている複数のツールをオンライン上で提供するサイトで、運営者情報は当該サイト上では掲載されていない。なお手元の環境から「短縮URL」とGoogleで検索すると最上位にこのサイトが当時表示されていたが、現在はこのキーワードによる検索では当該サイトは検索結果一覧に表示されなくなった。当該サービスは後述の通り、多数の組織で利用されているとみられる。
Googleでは検索結果一覧の最上位に表示(11月12日当時)
  • 当該サービスの安全性を担保するものではないが、今回piyokangoが確認した事例では悪質な広告表示はGoogle Adsが配信しているもので、11月11日時点では短縮URLサービスそのものについて閲覧時にマルウエアに感染、不正サイトに接続するなどの悪性な挙動は確認できず、当該サービスに対してセキュリティ各社のレピュテーションも特異な反応を示すものは確認出来なかった。また今回の事案を受けての対応かは不明ながら、「※2023/11/11:不正な広告を検知したためGoogle広告を除去しました」との注意書きが入力画面上に追記され11月12日1時時点で短縮URLサービス上では広告の挿入も行われなくなり、11月17日付で不正対処を理由として短縮URLの作成も停止された。またこのサービスで生成されるドメイン名の1つであったonl.bzも利用停止となった。
作成停止の説明が加えられた短縮URLサービスの旧入力画面
  • なお、当該サイト上では免責事項として「当サイトは商用・私用を問わず、どなたでもご自由にお使いいただけます ただし、当サイトによって生じた損害等の一切の責任を負いかねますので自己責任での利用をお願いいたします」との説明が記載されている。
短縮URLを発端とした悪質な広告先へ誘導される流れ(一部推測)
多数の組織が利用している可能性
  • オンラインツール (onl.jp)の短縮URLサービスは多数の組織で利用されているとみられる。以下は短縮URLで生成される4つのドメイン名をGoogle検索し、検索結果の件数を一覧にしたもの。ただし質問サイトなどサービスを直接利用していないものも結果に含まれており(特にCO.JP)実態を示したものではなくあくまでも参考。
onl.jpの短縮URLサービスドメイン GO.JPの検索結果件数 LG.JPの検索結果件数 AC.JPの検索結果件数 CO.JPの検索結果件数
onl.la 約81件 約103件 約566件 約19,400件
onl.tw 約75件 約169件 約609件 約16,800件
onl.bz 約369件 約258件 約686件 約13,000件
onl.sc 約151件 約182件 約680件 約28,700件

オートバックスも類似事案を報告

  • オートバックスセブンは、同社会員向けに発送した会員制度リニューアルを知らせるDMにおいて、リニューアル先のWebサイトを知らせるために使用されたQRコードを読み込んだ際に、予定をしていない広告サイトに遷移する事象が一部で発生したとして、掲載したQRコードの読み込みを行わないよう会員に対して呼びかけを行った。*2
  • 一部の顧客においては、広告を経由して誘導された不正サイトでクレジットカード番号などの入力を求められるケースも確認された。誤ってクレジットカード情報などの決済情報を入力した場合は利用するカード会社に連絡をするよう案内を行っている。

学習院大学は別の短縮URLサービスに起因か

  • 学習院大学は、配布を行っていた大学案内2024中に掲載された一部のQRコードを読み込むと不正なリンク先に転送される状態となっていることが判明したとして正しいURLを直接入力しアクセスするよう呼びかけを行っている。*3
  • 大学案内2024に掲載されていたQRコードを確認したところ、掲載されていたリンク先はpr6.spaceとなっており、アーカイブされたデータなどからPRT.NUが提供していた短縮URLサービスに関連したものだった可能性がある。このドメインは現在レジストラのパークドメインになっているとみられ、短縮URLの接続先となるサイトへ接続は行われない。
  • さらにPRT.NUの短縮URLサービスは一部ドメイン下で提供されているものは現在も継続して機能しているとみられるものの、11月12日時点でTOPページは「工事中」とのみ表示されており、問題のドメインとの関連やサービス提供状況が不透明な状態となっている。
大学案内2024に掲載されていたURL接続後に表示された画面

短縮URLの利用について改めて点検を

  • いなげやは「詳細の事実確認を行っている」と説明としており、今後状況が変わる可能性に留意するが必要ある。ただし、先の通り同様の影響を受けたとみられる事例があること、多数のWebサイト上において当該サービスのURLが記載されていること、より、自組織において当該サービスを利用していないか、利用している場合は対象となる利用者において不正広告による影響を受けていた恐れはないか、短縮URLサービス利用によるリスク(指定先URLが全く別のURLに置き換えられている懸念等)が受容可能と継続して判断できる状況にあるか、点検することが推奨される。

更新履歴

  • 2023年11月12日 AM 新規作成
  • 2023年11月12日 PM 学習院大学の事例を追記
  • 2023年11月14日 PM オートバックスセブンの事例を追記
  • 2023年11月28日 AM オンラインツールの短縮URL作成が停止されたことを追記

*1:[PDF] ネットスーパー入会案内における注意のお知らせ,株式会社いなげや,2023年11月9日

*2:[PDF] 会員様DM掲載の2次元バーコードに関するお知らせ,株式会社オートバックスセブン,2023年11月13日

*3:【重要】「大学案内2024」掲載二次元コードの不正リンクについて,学習院大学,2023年10月30日