2019-10-22に更新

ドメイン殺しにやられた話。SNS時代の外部URL遷移は超キケン

先日、長いこと閉鎖していたサービスを復活させました。

OGP changer
https://ogpc.ga/

これは、SNS共有用のURLを発行するサービスです。閉鎖に至ったのには大きな理由がありました。

短縮URLサービスのドメインを殺された

きっかけは弊サイトが管理する別の短縮URLサービス「URL Shortener」(lmp.tw)の悪用でした。

URL Shortenerは純粋な短縮URLサービスです。ユーザー数が少ないため、他よりも短いURLを取得できるのがウリでした。

ところが。

まさかの事態に。

何が起きたのか?

lmp.twドメインが全てTwitterに弾かれ、一切ツイートできないようになっていました。既にツイートされたリンクを踏むと、全てのページでセキュリティエラーが表示されるようになりました。
一言でいうと、ブラックリストに登録されたのです。

image

この人物は、lmp.twの他にも複数の短縮URLサービスで危険なリンクを作成し、ツイートすることで、サービスを殺しているようでした。悪意があるとしか言いようがありません。

image.png

これまでも数多くの短縮URLサービスが出来ては消えていきましたが、このような悪意ある利用がその主な原因だったと言えるでしょう。

私はすぐにサービスを停止せざるを得ませんでした。そして、同様のリスクがある以上、他のURLリダイレクトサービスも動かすわけにはいかず、OGP changer(ogpc.ga)も停止することになったのでした。

ドメインを取り戻すまで

lmp.twがブラックリスト入りしたことで、私のTwitterアカウントのプロフィールのリンクが使えなくなりました。

image.png

これでは信用に関わります。泣く泣くリンクを削除しましたが、このまま放置するわけにはいきません。危険なリンクは既に削除したので、まずはドメインを回復させます。

危険なURLと判断された流れは次の通りでしょう。

  1. 元々「Google Safe Browsing」(URL安全性確認サービス)によって危険と判断されていたURLを、悪意のあるユーザーが短縮URLサービスに登録し、ツイートする。
  2. GoogleによってURLが認識され、Google Safe Browsingでドメイン全体に危険ステータスが付与される。
  3. Twitterや他のセキュリティサービスがその情報を元にドメイン全体をブロックする。

ですから、まずはGoogle Safe Browsingによるスパム判定を解除する必要があります。

image

サイトが危険と見なされているかどうかはこのページから確認できます。

image.png

Google Safe Browsingに再審査を要求する手順はこちらです。
審査に合格するとステータスが解除されます。

Google Safe Browsingによるステータスが解除され次第、マカフィーなど他のセキュリティサービスの解除申請を送ると良いでしょう。

Twitterでは、「スパムを報告」というページから、「Twitterがスパムと判断したため、リンクをツイートできません。」を選ぶことで、スパム判定を食らったリンクを回復できます。

image.png

色々やった結果、lmp.tw自体は数週間で回復しました。
信用を失うのは一瞬だが、取り戻すのは本当に手間と時間がかかる、と実感しました。

対策

OGP changerはそんなわけで、同様のリスクがある以上復活させられないことから、長い間「改修中」と称し閉鎖していました。
ちなみにずっと404を返していたところ、ドメイン管理サービスに「使用実態がない」と見なされ、ドメインを剥奪されるハプニングもありました…。

Safe Browsing APIの利用

Google Safe Browsingによって弾かれたのですから、同じ基準で守ればよいのです。
GoogleのSafe Browsing APIを使うと、そのリンクが安全かどうかを判定できます。

こちらのブログを参考に、PHPでURLの判定を行なうようにしました。

サイトの安全性を確かめるSafe Browsing APIをPHPで試す
https://minory.org/safe-browsing-api.html

APIキーなどはGoogle Cloud Platformでプロジェクトを作成して取得します。

感想

外部へのURL遷移には今後注意していこうと思いました。無意味な遷移はできるだけ控えたほうがよいでしょう。もしサービスの中で外部URL遷移を利用している場合は、何かしらの対策を行うべきです。
Safe Browsing APIの利用の他、HTTPのLocationによる遷移ではなく、HTMLのmetaタグによる遷移や、javascriptによる遷移に変更するのも良いでしょう。
まだまだ自分の知らないセキュリティリスクは多いなと感じました。

最後に、半年ぶりに復活を果たしたOGP changerをよろしくお願いします。

image.png


ウラル

Splatoonの二次創作サイト「スプランプ」の管理人です。サーモンラン研究所やオクトチャット、フェス速報などを作りました。

Crieitは個人で開発中です。 興味がある方は是非記事の投稿をお願いします! どんな軽い内容でも嬉しいです。
なぜCrieitを作ろうと思ったか

また、「こんな記事が読みたいけど見つからない!」という方は是非記事投稿リクエストボードへ!

こじんまりと作業ログやメモ、進捗を書き残しておきたい方はボード機能をご利用ください!

ボードとは?

関連記事

コメント