フィッシング (Phishing) とは、銀行、 EC サイト、 SNS などの正規サービスを装った偽の Web サイトにユーザーを誘導し、ログイン情報、クレジットカード番号、個人情報などを詐取するサイバー攻撃手法です。
APWG (Anti-Phishing Working Group) の 2023 年レポートによると、年間約 500 万件のフィッシングサイトが報告され、四半期あたり約 130 万件のペースで増加しています。標的として最も多い業界は金融機関 (全体の 23.5%) 、次いで SaaS / Web メール (19.4%) 、 EC サイト (14.6%) です。
短縮 URL はフィッシング攻撃に悪用されるリスクがあります。リンク先の URL が隠蔽されるため、ユーザーがフィッシングサイトかどうかを事前に判断することが困難になります。 APWG のデータでは、フィッシング攻撃の約 8% が短縮 URL を経由しています。
フィッシング対策として、短縮 URL サービスのプレビュー機能が有効です。プレビュー機能を使えば、リンク先の URL 、ページタイトル、 OGP 情報を事前に確認でき、不審なリンクを検知できます。サービス提供者側の対策としては、 Google Safe Browsing API によるブラックリストチェック、レート制限による大量リンク生成の防止、不審な URL パターンの自動検出などが挙げられます。
ユーザー側の対策としては、見知らぬ送信者からの短縮 URL をクリックしない、プレビュー機能で事前にリンク先を確認する、 2 要素認証 (2FA) を有効にしてパスワード漏洩時の被害を軽減する、が基本です。関連書籍は Amazon でも探せます。