この記事を書いているのは2023年11月14日なのですが、11月10日に以下のような投稿がX(旧Twitter)に行われました。スーパーのいなげやによるお知らせをセキュリティ界では有名なpiyokango氏がポストしたものです。

QRコードを読み込んで記載されているURLに飛んだ際に不正サイトに飛ぶ広告が表示され、それをタップするとクレジットカード情報入力画面になり利用者がウッカリ入力してしまった結果、不正な決済をされてしまったというもので、それに関しての注意喚起となります。

同じ日にオートバックスのダイレクトメールに記載のQRコードを読み込んだ結果、先のいなげやのような結果となり不正決済されてしまったという被害者のポストもありました。

いずれも共通しているのは本来の飛び先のURLを無料の短縮URLサービスを使い短くした上でQRコードを生成しているという事です。

実は最近、今回の例のように無意味に短縮URLサービスを使ってURLを短くする例が増えているようです。検索してみるとホームページに記載のURL等でも短縮URLにされているのが多数見つかります。当方でザックリと調べた印象としては、大学とか病院とかが多いように感じました。無料のサービスを使っているのは予算がないという事なのかもしれません。

しかしながら、先のQRコードもそうですし、ホームページに記載のURLもそうですが、本来は短縮URLにする必要が無いものです。前者はスマートフォン等のカメラで読み取って飛ぶので利用者が手入力するものではないですし、後者も適切にリンクを貼れば利用者が手入力する必要がありません。それなのに、何故、わざわざ短縮URLにするのでしょうか?理由が判りません。有料の短縮URLサービスだと短縮URLを経由して飛んだ際の各種情報が提供されたりしますが、無料の短縮URLサービスにはそのようなサービスもありません。本当に意味のない短縮URLなのです。しかも、利用者に対しては「どこに飛ぶのか隠蔽しているだけ」になっていますので危険極まりない行為です。特に無料の短縮URLサービスはマネタイズのために一定時間表示する中間ページを用意し広告を貼っています(有料の場合は中間ページを用意せずに即座にリダイレクトするだけ)ので、不正なサイトに飛ばす広告が配信されてくるリスクもあります。

ちなみに2023年10月30日には学習院大学から「【重要】「大学案内2024」掲載二次元コードの不正リンクについて|学習院大学」という注意喚起も出ています。

無意味に利用者を危険に晒す行為は絶対に行ってはいけません。今回のように意味のない短縮URLは利用者を危険に晒す行為でしかなく、本当に意味のない行為です。短縮URLを利用する際には「短縮URLにする意味」を十分に検討をした上で、セキュリティにも配慮した使い方が求められます。無料だからとデタラメに利用しては「絶対に」いけません。