クラウドサービスの短縮URL、プライベートリソースの場所を探し出すのに悪用される可能性
タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
すでに短縮URLは悪質なサイトなどの誘導などにさまざまな形で悪用されているが、さらに大きな問題が出てきたようだ。CNETの記事によると、クラウドサービスの短縮URLは、攻撃者がプライベートリソースの場所を探し出すのに悪用されるおそれがあるという。
短縮URLの問題は含まれる6~7文字のトークンが短すぎるため、ファイルを共有している実際のURLを攻撃者に推測されてしまうことだ。そのため、URLは共有した相手だけでなく、ウェブ上の誰もがアクセスできてしまう可能性がある。
さらに悪いことに、多くのクラウドサービスはクラウドからユーザーのコンピュータにファイルを同期するため、あるファイルの短縮URLから、ユーザーが所有する他のすべてのファイルに攻撃者を誘導するおそれがあるとしている。さらに、この方法で特定したアカウントの一部について、マルウェアを仕掛けられるおそれがあることを発見した。同じ問題は、Microsoft OneDrive、「Google Drive」、Google Maps、「Bing Maps」で使われているURL短縮サービスでも発見されたとしている。
クラウドサービスの短縮URL、プライベートリソースの場所を探し出すのに悪用される可能性 More ログイン