ドメイン殺しにやられた話。SNS時代の外部URL遷移は超キケン

雑記 Webサービス

先日、長いこと閉鎖していたサービスを復活させました。

OGP changer
https://ogpc.ga/

これは、SNS共有用のURLを発行するサービスです。閉鎖に至ったのには大きな理由がありました。

短縮URLサービスのドメインを殺された

きっかけは弊サイトが管理する別の短縮URLサービス「URL Shortener」(lmp.tw)の悪用でした。

URL Shortenerは純粋な短縮URLサービスです。ユーザー数が少ないため、他よりも短いURLを取得できるのがウリでした。

ところが。

短縮URLサービスでテロられたこんなことあるんか
— ウラル (@barley_ural) April 12, 2019

まさかの事態に。

何が起きたのか？

lmp.twドメインが全てTwitterに弾かれ、一切ツイートできないようになっていました。既にツイートされたリンクを踏むと、全てのページでセキュリティエラーが表示されるようになりました。
一言でいうと、ブラックリストに登録されたのです。

危険なサイトへのリダイレクトを作られてしまって、そのせいで短縮URLサービスのドメイン丸ごとTwitterに弾かれてる他のリンクも全部ブラックリスト扱いされてる…
— ウラル (@barley_ural) April 12, 2019

経緯を説明すると、lmp. tw配下全てのリンクに警告表示が出ることを発見→危険なサイトにリダイレクトさせるツイートが投稿されていた→直ちに該当ツイートのリンクの無効化と管理する全てのURLリダイレクトサービス新規登録を停止 pic.twitter.com/ZsERui2Jp2
— ウラル (@barley_ural) April 12, 2019

この人物は、lmp.twの他にも複数の短縮URLサービスで危険なリンクを作成し、ツイートすることで、サービスを殺しているようでした。悪意があるとしか言いようがありません。

これまでも数多くの短縮URLサービスが出来ては消えていきましたが、このような悪意ある利用がその主な原因だったと言えるでしょう。

私はすぐにサービスを停止せざるを得ませんでした。そして、同様のリスクがある以上、他のURLリダイレクトサービスも動かすわけにはいかず、OGP changer(ogpc.ga)も停止することになったのでした。

ドメインを取り戻すまで

lmp.twがブラックリスト入りしたことで、私のTwitterアカウントのプロフィールのリンクが使えなくなりました。

これでは信用に関わります。泣く泣くリンクを削除しましたが、このまま放置するわけにはいきません。危険なリンクは既に削除したので、まずはドメインを回復させます。

危険なURLと判断された流れは次の通りでしょう。

元々「Google Safe Browsing」（URL安全性確認サービス）によって危険と判断されていたURLを、悪意のあるユーザーが短縮URLサービスに登録し、ツイートする。
GoogleによってURLが認識され、Google Safe Browsingでドメイン全体に危険ステータスが付与される。
Twitterや他のセキュリティサービスがその情報を元にドメイン全体をブロックする。

ですから、まずはGoogle Safe Browsingによるスパム判定を解除する必要があります。

サイトが危険と見なされているかどうかはこのページから確認できます。

Google Safe Browsingに再審査を要求する手順はこちらです。
審査に合格するとステータスが解除されます。

Google Safe Browsingによるステータスが解除され次第、マカフィーなど他のセキュリティサービスの解除申請を送ると良いでしょう。

Twitterでは、「スパムを報告」というページから、「Twitterがスパムと判断したため、リンクをツイートできません。」を選ぶことで、スパム判定を食らったリンクを回復できます。

色々やった結果、lmp.tw自体は数週間で回復しました。
信用を失うのは一瞬だが、取り戻すのは本当に手間と時間がかかる、と実感しました。

対策

OGP changerはそんなわけで、同様のリスクがある以上復活させられないことから、長い間「改修中」と称し閉鎖していました。
ちなみにずっと404を返していたところ、ドメイン管理サービスに「使用実態がない」と見なされ、ドメインを剥奪されるハプニングもありました…。

Safe Browsing APIの利用

Google Safe Browsingによって弾かれたのですから、同じ基準で守ればよいのです。
GoogleのSafe Browsing APIを使うと、そのリンクが安全かどうかを判定できます。

こちらのブログを参考に、PHPでURLの判定を行なうようにしました。

サイトの安全性を確かめるSafe Browsing APIをPHPで試す
https://minory.org/safe-browsing-api.html

APIキーなどはGoogle Cloud Platformでプロジェクトを作成して取得します。

感想

外部へのURL遷移には今後注意していこうと思いました。無意味な遷移はできるだけ控えたほうがよいでしょう。もしサービスの中で外部URL遷移を利用している場合は、何かしらの対策を行うべきです。
Safe Browsing APIの利用の他、HTTPのLocationによる遷移ではなく、HTMLのmetaタグによる遷移や、javascriptによる遷移に変更するのも良いでしょう。
まだまだ自分の知らないセキュリティリスクは多いなと感じました。

最後に、半年ぶりに復活を果たしたOGP changerをよろしくお願いします。