onl.○○（onl.bz, onl.la等）の短縮URLサービスを使わないでほしい話

2023/11/12 追記

実際にonl.*の短縮URLを利用して、表示された広告から不正なサイトへ誘導される被害が発生したようです。

株式会社いなげや
ネットスーパー入会案内における注意のお知らせ
https://www.inageya.co.jp/files/pdf/231109.pdf
※不正なサイトへの誘導スクショにonl.laドメインのURLあり

オートバックスのDMにある「新しいオートバックス会員制度リニューアル」QRコードにアクセスしたらカード情報等入力画面になったので入力したら海外サイトに登録したことになってて調べてる間に決済されてしまいました。

「オートバックスのチラシにあるQRコードをスキャンしたらフィッシングサイトに飛ばされた」という報道について、資料をいただいたので簡単に調査しました。今回、問題があったQRコードはURL Redirection Service (いわゆる短縮URL)を利用したものでした。
実際に当該 URL… https://t.co/5TSMJ9kKxQ pic.twitter.com/gPTDTHZPZk
— shao as a service (@shao1555) 2023年11月11日

※検証スクショではドメイン部分が隠してあるが外見からonl.*での短縮サービスと思われる（↓が2023/11/12時点でのスクショ）

本文と繰り返しになってしまいますが、絶対安全なサードパーティwebサービスというのはありません。
が、運営元の所在がはっきりしている・これまでに実績がある等で比較的安全なものを選択することは可能です。

また、企業等であれば自前で短縮URLサービスを構築することも選択肢に入るでしょう。
不正な広告を挟まれたりリダイレクト先の変更をされることもありませんので最もセキュアになります。

元記事（本文）

タイトルのまんま、最近たま～にみかけるようになったonl.○○という短縮URLサービス、使わないでほしいという話。

もっと正確には、別にonl.○○の敵対企業の回し者みたいなことを言いたいわけじゃなくて信頼性の低い短縮URLサービスを使わないでほしいんですよ。
なんでかっていうと、短縮URLサービスはその性質上本来の転送先URLではない別のサイト（それこそフィッシングサイトとか）にアクセスさせるなんてことが余裕で可能だからです。
しかもその被害者はURLを作った人だけでなくてむしろそのURLを踏む人々、あなたのフォロワーだったり新規顧客だったりする人なわけですよ。
自分でかってにウィルスダウンロードしちゃって個人情報抜かれました、だったら自分の被害だけで済みますけど、悪質な短縮URLサービスを使ったら被害は主に他人に及ぶわけで。

考えてみればシンプルな話ですけどこれで短縮URLサービスへの意識を少しでも高めてくれる人がいればいいなと。

ちなみに絶対に安全なwebサービスというのはありませんが、長年・多数の実績があるのはやはりbit.ly(https://bitly.com)でしょう。
（Twitterが自前で短縮URLを生成するようになる前から利用されています）

他にも色々調べてたらx.gdというのも公式・開発者Twitterがあり、onl.○○に比べると責任の所在のオープンさは比較的マシのようです。

【公式】世界最短URL短縮サービス - X.gd (@xdotgd) / X

bit.lyとか英語でわかんないしonl.○○でいいです＞＜ってくらいならこっち使ってくれる方が踏む方はまだいいかな…

ちなみにスパム関連でbit.lyの名前をよく聞くけど…と不安な人。
あれは短縮リンクの飛び先がスパムURLであるという話です。
この「本来のURLを隠す」ことでスパムに利用される問題は短縮URLサービスであればどのサービスでも共通であります。
むしろスパムを仕掛ける側は「bit.lyなら安心して踏むだろう」と踏んで選定しているわけでしょうから、bit.lyが一般的には信頼されている証でもあります。

短縮URLを使わないという選択もありだと思います。
そもそもTwitterも自前でURL短縮をしてくれるようになったのでURLをそのまま貼っつけても文字数を対して消費しないことが多いですし
最近はlinktreeといった1ページに複数リンクをまとめてくれるサービスもあります。
まあ結局外部サービスを使うのですが、スパムサイトと全く見分けのつかない短縮URLをズラズラ並べるくらいならリンクまとめサービスであることがわかるURLを1つ貼ったほうがまだ踏む人には優しいですね。

余談：l.instagram.comスパムについて思うところ

短縮URLとは似たようで違う話題ですが…
見出しの件…巷ではまた新しいスパムか～って感じでしょうが、個人的にはInstagramやっちまったなって思いました。
話を知らない人に簡単に説明すると、http:// l.instagram.com/?～ってURLでどんなURLにも飛ばすことができるようになっており、スパムサイトのリンクをこれで作りインスタのURLと思わせて踏ませる、というスパムが（なぜかインスタでなく）Twitterで出回りました。
did2memo.net

あの、まったくサイトとか作ったことない人向けに説明すると、ドメインって大事なんですよ。
ドメインって、URLのhttp:// xxx.yyy.zzz/hogehogeのxxx.yyy.zzzのところです。http://が終わって次に/が来るまでの、ドット区切りされてるところ。
実はこのドメイン、利用できる人（主体）は1人だけです。あるドメインを勝手に他の人が使えないようになっています。
例えばTwitter公式でなければ、勝手にそこらへんの人がhttp:// twitter.com/～ってURLで自分のサイトへのURLを作ることはできません。
これはDNSという、どのドメインでどのサーバーに繋がるのかを管理する非常によくできた分散システム（と管理組織の皆さん）により成り立っています。
分散システムなのでちょっとやそっと個人が改ざんしたりすることはできません。
（もっと詳しくはググってください）

所有できる人が1人だけなので、ドメインは"売られて"います。基本的に、お金を払って利用できるようになるものです。
（種類を選ばなければ無料だったりしますが…）
さらにドメインによっては所有者が「日本に住所がある」「企業である」「教育機関である」制限があります。
ドメインを見る側からすれば所有者がそうである証明でもあるわけです。
参考：
jprs.jp

そんなわけで、URLの中のドメインは証明とかブランド的性質があります。
実際さっきドメインは"売られて"いると言いましたが、.jpとか.netとかの"よく見る"ドメインほど高い値段になっています。
www.onamae.com
＝高いお金を払ってでも価値のある（安心感のある）ドメインを使いたいという人が多いというわけですね。

なお、ドメインはyyy.zzzを持っていればxxx.yyy.zzzと左側に追加したものも使うことができます。
なので例えばhogehoge.twitter.comというドメインがあったら、これもまたTwitter公式のものです。

そして…ここで冒頭のl.instagram.comスパムですよ。
instagram.comドメイン＝インスタのサイトであるという証明・ブランドだったのが、http:// l.instagram.com/?～で任意のURLに飛ばせるというインスタのガバシステムによってまったく信頼のないものになってしまいました。

まあドメインのことなんて実際には気にしない人が多いので、スパムか～で終わってしまっているんですが…

ちなみにTwitterは似たようなことないの？という話になると。
そもそもl.instagram.comはなんで他のサイトのURLに繋がるシステムになっているかというと、これがインスタサービス上に貼られた外部URLのリンクになるからでした。
ではTwitterのツイートにURLを貼った時はどうなるのか？というと、これはt.coというドメインになります。
ずっとTwitterを使ってるけど見たことないよ？という人は、ツイート上のリンク文字列やTwitterカード表示を右クリックしてリンクをコピーしてみてください。
https:// t.co/～というURLになっているはずです。
よって「Twitterサービス上に貼られた外部リンクはtwitter.comドメインにならない」というのが結果ですね。
これはドメインの証明・ブランド・信頼性の点では非常に良いことだと思います。
仮にt.co URLで今回のようなスパム騒ぎが起きてもtwitter.comのドメインは守られますし、そもそもhttp:// t.co/?～とスパムリンクが送られてきた時にTwitterのURLだ！開こう！って思える人はあまりいないのではないでしょうか。
そういう意味ではユーザーの安全も守っていることになりますね。