ドメイン番人
短縮URLセキュリティリダイレクトWeb 担当者

短縮 URL の安全性を確認する方法|リダイレクト追跡 + ブラックリスト照会で 30 秒で判定

ドメイン番人3 分で読めます
目次

この記事でわかること

  • 短縮 URL の危険性
  • リダイレクトを追跡する 3 つの方法
  • ブラックリスト判定の組み合わせ
  • 運用で気をつける点

短縮 URL とは

bit.ly/abc123 t.co/xyz ow.ly/... のような 短いリダイレクト URL。SNS の文字数制限対策やマーケのクリック計測で使われます。

危険性:

  • 最終 URL が見えない: クリック前にどこに飛ぶか分からない
  • 悪意ある誘導: フィッシング・マルウェア・偽サイトへの転送
  • 追跡パラメータの混入: 個人情報トラッキング

正規業者の bit.ly / t.co / ow.ly でも、攻撃者が登録すれば悪意ある URL に誘導可能です。

リダイレクト追跡の 3 つの方法

リダイレクト追跡の 3 方法

方法 1: curl で HEAD リクエスト

curl -sI -L https://bit.ly/abc123 | grep -i location

Location: ヘッダで各 hop の遷移先を確認。-L でリダイレクト追跡、-I で HEAD のみ(ボディ取得なし)。

メリット: コマンドラインのみ、無料 デメリット: 技術知識必要、JS リダイレクトは取れない

方法 2: アンシュリンカー系 Web ツール

URL を貼ってリダイレクト先を表示する Web ツール。

メリット: ブラウザだけで使える デメリット: ブラックリスト判定が弱い

方法 3: ドメイン番人 サイト技術スタック診断

サイト技術スタック診断リダイレクトチェーン(5 hop まで)+ ブラックリスト判定(Safe Browsing / VirusTotal / PhishTank)+ 技術スタック検出を 30 秒で実行。

メリット: 日本語、ブラックリスト判定統合、無料 デメリット: スポット利用(自動監視機能なし)

ブラックリスト判定の組み合わせ

リダイレクト先が分かっただけでは不十分。最終 URL がブラックリストに登録されているかまで確認すべき:

ブラックリスト カバー範囲
Google Safe Browsing フィッシング / マルウェア / 不適切ソフトウェア
VirusTotal 80+ AV ベンダーの集約判定
PhishTank フィッシング報告 DB(コミュニティ駆動)

ドメイン番人ツールは 3 つの結果を外部 API 結果転載のみで表示します。当方の独自判定はしません。詳しくは aguse 代替: 技術スタック + サイト情報 + ブラックリスト判定を 1 ツールで を参照。

運用で気をつける点

自社で短縮 URL を発行する場合

推奨 非推奨
自社ドメイン配下の短縮(go.example.co.jp/abc 一般的な bit.ly のみ
短縮元 URL の社内記録 「いつ・誰が発行したか」追跡なし
期限付き短縮(30 日後失効) 永続的な短縮 URL

社内で発行履歴を残しておくと、後日「この短縮 URL はどのキャンペーン用?」が追跡可能。

短縮 URL を受信した場合

  1. クリック前にツールで確認: ドメイン番人 / unshorten.it 等
  2. ブラウザのプレビュー機能: Twitter / Slack 等のリンクプレビューを見る
  3. メールフィルタ: Microsoft 365 / Google Workspace のフィッシング検出
  4. 社内案内: 「短縮 URL は安易にクリックしない」を周知

まずは試してみてください

サイト技術スタック診断 で短縮 URL を入力するだけで、リダイレクトチェーン + ブラックリスト判定 + 最終サイトの技術スタックを 30 秒で確認できます。

関連記事: Wappalyzer 代替の無料ツール / aguse 代替 / サイトの技術を調べる方法 5 選

メール認証 / SSL の総合点検は 無料ツール一覧 をご利用ください。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから