「短縮URLサービス」の悪用

 「Twitter」のように文字数に制限があるコミュニケーションサービスやSNSなどでは、任意のURLを短縮するサービスが利用されている。「bit.ly」や「goo.gl」が有名だ。例えば、友人に紹介したいWebページのURLなどを同サービスで短縮してから投稿する。

 便利なサービスではあるが、どのようなURLであっても、「http://bit.ly/(文字列)」や「http://goo.gl/(文字列)」といったURLに変換される。「そのままなら『怪しい』と思うURLであっても、短縮されると分からなくなる」シマンテック セキュリティレスポンス シニアマネージャの浜田譲治氏)。このため、攻撃者が同サービスを悪用するケースが増えているという。

ソース:http://itpro.nikkeibp.co.jp/article/NEWS/20110413/359362/

資料
国、地方公共団体等公共機関における民間ソーシャルメディアを活用した情報発信についての指針
平成23 年4 月5 日
内閣官房
情報セキュリティセンター
情報通信技術(IT)担当室
総務省
経済産業省
近年、インターネット上のさまざまな民間ソーシャルメディアサービス(以下、「ソーシャルメディア」という。)の普及に伴い、国、地方公共団体等の公共機関において、情報発信等の強化のために、こうしたサービスを利用する事例が増えてきています。特に、平成23年3月11日の東日本大震災の発生以降、震災対応に関する情報の発信のため、多くの機関でソーシャルメィアが活用されています。
震災対応のような時々刻々と状況が変化する情報を迅速に国民に発信していくためには、Webサイトへの情報掲載とともに、ソーシャルメディアも積極的に併用していくことが望まれます。一方で、ソーシャルメディアサービスの利用に当たっては、情報発信者とシステム管理者が異なることや機関ごとに活用方法が異なることから、共通的な留意点を下記のとおり示すこととします。
本指針は、現下の震災対応の中で、国、地方公共団体等におけるソーシャルメディアの利用が増加していることから、当面留意が必要な事項について示すものであり、今後、必要に応じて関係機関で協議し、見直し等を行っていくこととします。各府省におかれては、所管の独立行政法人特殊法人及び認可法人並びに国立大学法人及び大学共同利用機関法人においても以下を踏まえて検
討が行われるよう御協力をお願いいたします。

(1) 成りすまし等の防止
① アカウント運用者の明示
・ソーシャルメディアは、誰でもアカウントを開設することが可能であるため、公的機関が運用していることを証明し、国民に周知することが必要です。
・ソーシャルメディアの提供機関等が、認証アカウントの発行を行っている場合には、可能な限り、認証アカウントの取得を行ってください。
・また、ソーシャルメディアを利用する機関が自身で管理しているWebサイト(.go.jp, .lg.jp ドメインが望ましい。以下、「自己管理Webサイト」という。)内において、利用するソーシャルメディアのサービス名と、そのサービスにおけるアカウント名もしくは当該アカウントページへのハイパーリンクを明記するページを設けるようにしてください。加えて、運用している
ソーシャルメディアのアカウント設定の自由記述欄において、当該アカウントの運用を行っている旨の表示をしている自己管理Webサイト上のページのURLを記載してください。
② 成りすましが発生していることを発見した場合
・ソーシャルメディアを利用していない場合には、自己管理Webサイトに当該ソーシャルメディアを利用していない旨の告知を行う等の周知や、信用できる機関やメディアを通じ、成りすましアカウントが存在することの注意喚起を行ってください。
③ その他の注意
・本来のURL(ドメイン)をわからなくする、URL短縮サービスは、原則使用しないようにしてください。
・公共機関のアカウントにおいて、第三者アカウントの投稿の引用や、第三者が管理又は運用するページへのリンクを掲載することは、当該の投稿やページの内容を信頼性のあるものとして認めるものと受け取られることも考えた上で、慎重に行うようにしてください。
(2)アカウント運用ポリシーの策定と明示
・アカウント運用ポリシー(ソーシャルメディアポリシー)を策定してください。その際、他の公共機関・民間企業が公開しているものを参考にしてください。
・ソーシャルメディアのアカウント設定における自由記述欄、又は、ソーシャルメディアアカウントの運用を行っている旨の表示をしている自己管理Webサイト上のページに、アカウント運用ポリシーを掲載してください。(自組織内にも周知しておくことが望ましい。)
・特に、専ら情報発信用途に用いる場合には、その旨をアカウント運用ポリシーに明示してください。
以上