サプライチェーン攻撃とは、標的組織が直接利用するソフトウェアの依存関係、ビルドパイプライン、またはサードパーティサービスを侵害し、間接的に攻撃を仕掛ける手法です。短縮 URL サービスの文脈では、サービス自体の乗っ取りや、短縮 URL に埋め込まれたトラッキングスクリプトの改ざんがこの攻撃に該当します。
代表的な攻撃ベクトルとして、(1) npm/PyPI などのパッケージレジストリへの悪意あるパッケージの公開 (依存関係混乱攻撃)、(2) CI/CD パイプラインの侵害によるビルド成果物の改ざん、(3) サードパーティ CDN やスクリプトホスティングの乗っ取り、(4) 短縮 URL サービスの管理者アカウント侵害によるリダイレクト先の書き換えがあります。
短縮 URL サービスがサプライチェーン攻撃の標的となる理由は、1 つの短縮 URL が数百万回クリックされる可能性があるためです。攻撃者がサービスを侵害してリダイレクト先をマルウェア配布サイトに変更すれば、大規模な被害が瞬時に発生します。2020 年の SolarWinds 事件のように、信頼されたサービスを経由する攻撃は検知が極めて困難です。
防御策として、短縮 URL サービス側では多要素認証の強制、リダイレクト先変更時の承認ワークフロー、異常なリダイレクト先変更の自動検知が重要です。利用者側では、重要なリンクの定期的な宛先確認と、Certificate Transparency ログの監視が有効です。