日々のコンピュータ情報の集積と整理

Dr.ウーパのコンピュータ備忘録

2014年11月14日金曜日

短縮URLの恐怖:限定公開データを短縮URLにするとセキュリティ強度が下がって危ない

イントロダクション

短縮URLの危険性についての情報がいくつか上がってきています。(*1)

短縮URLの利用者側の観点で見ると、主なもので以下のような危険性があります。

  • 本来のURLがアクセスするまでわからないため、悪質なサイト(フィッシング詐欺、ウィルスの配布等)に飛ばされる
  • 短縮URLサービスが終了した場合、リンク先に飛べなくなる上に、そもそものリンク先が永遠にわからなくなる


これらの代表的な危険性の他にも、短縮URLとして登録してはならないURLがあります。
それは、第3者に知られてはならないURLです。


第3者に知られてはならないURLとは?

第3者に知られてはならないURLとは、そのURLを知っていること自体が、一つのアクセス制限になっているようなページのことです。

例えば、Google Driveの共有の設定にて、リンクの共有を「オン-リンクを知っている全員」とした場合が該当します。

Google Drive:共有設定:リンクの共有:オン-リンクを知っている全員

この場合、このドキュメントには、そのドキュメントのURLを知っている者だけがアクセスできます。

第3者は通常、そのようなドキュメントのURLを知ることができないため、URLを知っているかどうかが一つのアクセス制限手段となっているわけです。


共有に使われるURLのセキュリティ強度

さて、一般的には第3者に知られてはならないURLは、そのURLの長さを十分に長くすることによってセキュリティを担保しています。

例えば、Google Drive のスプレッドシートをリンクを知っている全員に公開とした場合、次のようなURLでアクセスが可能です。

https://docs.google.com/spreadsheets/d/********************************************/edit?usp=sharing

※ * は英数字1文字の伏字

このURLの場合、個々のドキュメントを識別しているのは1からMまでの、44文字です。
出てくる文字を英数字(0-9, a-z, A-Z)と仮定した場合、その文字の組み合わせで実現されるパターン数は、7.3E78通りです。
(なお、Google DriveのURLには、-や_といった記号も使われるため、もう少しパターン数は多くなります。)


このパターン数の計算は以下の別投稿で行っています。

英数字(0-9, a-z, A-Z)44文字の組み合わせパターン数とそのセキュリティ強度 - Dr.ウーパのコンピュータ備忘録
http://upa-pc.blogspot.com/2014/11/url-security-char-44.html


短縮URLにより、セキュリティ強度が大きく低下する

さて、上のセクションにて、URLの長さがいかにセキュリティ強度を高めているのかといった話をしました。

一方、万が一、その共有ドキュメントにアクセスするためのURLを、短縮URLとして登録してしまった場合にはどうなるでしょうか。

先ほどの共有ドキュメントのURLをツイート(ダイレクトメッセージでつぶやいた場合も、通常の公開ツイートと同様です)すると、次のような短縮URLが得られます。

https://t.co/**********

※ * は英数字1文字の伏字

Twitter:ダイレクトメッセージでURLを送信


元のURLでは、44文字あった識別子が、10文字に縮んでいます。
(なお、元のURLでは、Googleドライブであることや、特定のファイルの種類であることも、識別子として機能していたので、その分セキュリティ強度は高い。)

元のURLのときと同じように、パターン数を計算してみます。
出てくる文字を英数字(0-9, a-z, A-Z)と仮定した場合、その文字の組み合わせで実現されるパターン数は8.4E17通りです。

このパターン数の計算は以下の別投稿で行っています。

英数字(0-9, a-z, A-Z)10文字の組み合わせパターン数とそのセキュリティ強度 - Dr.ウーパのコンピュータ備忘録
http://upa-pc.blogspot.com/2014/11/url-security-char-10.html


元のURLは、7.3E78通りのパターンがあったのに対して、短縮URL化したこちらは8.4E17通りのパターンしかありません。

パターン数は、8.7E60分の1まで減少しています。


まとめ

限定公開を目的として、URLを知っている人だけにファイルを公開している場合、そのURLを短縮URLとして登録してしまうと、セキュリティ強度が下がって危険です。

特に、ツイッターでつぶやくと、ダイレクトメッセージであってもツイート中に含まれるURLが短縮URLに自動的に変換されてしまいます。そのような目的のURLはツイッターでのやり取りには含めないのが良さそうです。


参考文献

*1:

短縮URLを使うのは止めましょう その使い方、合っていますか? | 株式会社クロスジール
http://www.crosszeal.co.jp/blog/%E7%9F%AD%E7%B8%AEURL%E3%82%92%E4%BD%BF%E3%81%86%E3%81%AE%E3%81%AF%E6%AD%A2%E3%82%81%E3%81%BE%E3%81%97%E3%82%87%E3%81%86.html

短縮URLのリスクと対策 - Nothing ventured, nothing gained.
http://takoratta.hatenablog.com/entry/20090815/1250301636

今話題のURL短縮サービスが実はヤバい!! - NAVER まとめ
http://matome.naver.jp/odai/2135562732593778401







関連記事

関連記事を読み込み中...

同じラベルの記事を読み込み中...