Twitterの「悪質URL」フィルタリング機能は不十分――専門家が指摘
短縮URLには対応できず悪質サイトへのリンクを含むtweet(投稿)を阻止するフィルタリング機能が「Twitter」にひそかに導入された。だが、この機能は容易に回避できると、セキュリティ専門家は指摘する。
Twitterに新たに備わるフィルタリング機能は、悪質なWebサイトへのリンクが蔓延しているという問題に対処するためのもの。そうしたリンクを投稿しようとすると、“Oops! Your tweet contained a URL to a known malware site”(おっと! このtweetには既知の悪質なサイトのURLが含まれています)という短い警告文が表示され、数秒後にそのtweetは削除される。
悪質なリンクの検出に使われているのは、Googleの「Safe Browsing API」である(このことは、Googleの広報担当者が認めている)。
このフィルタリング機能は、8月3日、F-Secureの主席研究員、ミッコ・ヒッポネン(Mikko Hypponen)氏によって初めて公表された。
同氏のブログ投稿によると、F-SecureはTwitterに対し、「ワームやスパム、アカウント・ハイジャックの標的になる機会が増えているため、こうした対策を導入すべきだ」と提言していたという。
実際、1カ月ほど前には、テクノロジー起業家ガイ・カワサキ氏のアカウントが悪用され、悪質なWebサイトへのリンクが投稿されるという事件も起こっている。ここ数週間、Twitterユーザーたちは、偽の、あるいは時として悪意のある“詐欺的な”セキュリティ・ソフトウェアに誘導されるリンクに引っ掛かってきた。
Twitterのフィルタリング機能について、セキュリティ専門家たちは“最初の一歩”と一様に評価しているが、一方で改善が必要との見解も示している。というのも、Twitterでよく使われる短縮URLをブロックできないためだ。
この機能をテストしたところ、あるフィッシング・サイトのURLをそのまま投稿しようとするとブロックされたが、同じURLを「Tinyurl.com」や「Bit.ly」などのサービスを使って短縮した場合には投稿できてしまった。Twitterでは1メッセージ140文字までという厳密な文字制限があるため、リンクを貼る際にはこうしたURL短縮サービスを利用する方法が一般的である。
また、同じフィッシング・サイトのURLから先頭のサブドメイン「www」を削除した場合も、やはりリンクを投稿できてしまったという。
こうした短縮URLなどについてTwitterにコメントを求めたが、現時点で返答はない。
米国FaceTime Communicationsのセキュリティ事業部門、FaceTime Security Labsでマルウェア・リサーチ・ディレクターを務めるクリス・ボイド(Chris Boyd)氏は、「この種のサービスでは、ブロックできないものが出てくるといった問題はよくある」と語る。
もっとも、悪質な短縮URLをブロックできなかったとしても、ユーザーはある程度の保護が受けられるようだ。URL短縮サービスの中には、自らSafe Browsing APIを採用しているものもあるからだ。例えば、Twitterに投稿されるリンクの半数以上に使われているBit.lyは、Googleの同APIを利用することで、ユーザーが悪質なサイトに誘導されることを防いでいる。
「おそらく、TwitterのWebフィルタリングが適切に機能するようになるまでには、もうしばらく時間がかかるだろう。しかし、部分的な保護であっても、何もないよりはましだ」(ボイド氏)
(Robert McMillan/IDG News Serviceサンフランシスコ支局)
