URL は、犯罪捜査において意外なほど重要な役割を果たしています。短縮 URL のクリックログ、フィッシングサイトのドメイン登録情報、ブラウザの閲覧履歴に残った URL 。これらのデジタル証拠が、犯人逮捕の決め手になった事件は少なくありません。
2016 年、米国で発生したある詐欺事件では、犯人が被害者に送った短縮 URL のクリックログが決定的な証拠となりました。犯人は Bitly で作成した短縮 URL をフィッシングメールに埋め込み、被害者の銀行口座情報を盗み取りました。しかし、 Bitly のクリックログには、リンクをクリックした全ユーザーの IP アドレス、アクセス時刻、ブラウザ情報が記録されていました。 FBI はこのログデータを令状に基づいて取得し、犯人が自分自身でリンクをテストした際の IP アドレスから、犯人の自宅を特定しました。犯人は、自分が作った短縮 URL を自分でクリックするという初歩的なミスを犯していたのです。
フィッシング URL のドメイン登録情報 (WHOIS データ) から犯罪組織を追跡した事例も多数あります。 2019 年、欧州刑事警察機構 (ユーロポール) は、大規模なフィッシングキャンペーンで使用された数百のドメインの WHOIS データを分析し、すべてのドメインが同一の登録者情報 (名前、メールアドレス、電話番号) で登録されていることを発見しました。この情報を手がかりに、東欧を拠点とする犯罪組織のメンバー 11 人が逮捕されました。現在は GDPR の影響で WHOIS データの多くが非公開になっていますが、法執行機関は令状に基づいてレジストラから登録者情報を取得できます。犯罪捜査に関する書籍は Amazon でも探せます。
ブラウザの閲覧履歴に残った URL が裁判の証拠として採用されたケースは、日本でも増えています。 2017 年の「座間 9 人殺害事件」では、容疑者のスマートフォンのブラウザ履歴に残った SNS の URL が、被害者との接触経緯を証明する重要な証拠となりました。また、企業の内部不正調査でも、従業員のブラウザ履歴に残った URL が、機密情報の持ち出しや競合他社との不正な連絡を証明する証拠として使われることがあります。
URL のリダイレクトチェーンを追跡することで、マルウェアの配布ネットワークを解明した事例もあります。セキュリティ研究者は、マルウェアに感染したウェブサイトが、複数の短縮 URL とリダイレクトを経由して最終的なマルウェア配布サーバーに到達する「リダイレクトチェーン」を分析します。このチェーンの各段階で使用されるドメインやサーバーの情報を収集することで、攻撃者のインフラ全体を把握できます。 2020 年、 Google の脅威分析グループは、北朝鮮のハッカー集団が使用していた短縮 URL のリダイレクトチェーンを解析し、攻撃インフラの全容を明らかにしました。 URL は、犯罪者にとっては便利なツールですが、同時に捜査機関にとっても強力な証拠の宝庫なのです。