Googleのリダイレクト警告を回避して別サイトへ誘導される危険なURLにご注意

短縮URL詐欺など、危険なリンクを踏ませる攻撃は相変わらず存在していますが、先日、Google のドメイン名から始まるリンクでありながら、Google のリダイレクト警告を回避して別サイトへ誘導できる危険なURLの存在を確認したので、注意喚起しておきます。

Google のリダイレクト機能には、現在、「リダイレクトの警告」画面が組み込まれており、他サイトへの誘導前にワンクッション置かれる仕様になっています。

以下はそのサンプルです。（誘導先は http://www.example.com/ ）

• https://www.google.com/url?q=http://www.example.com/

上記のリンクをクリックすると、以下のようなリダイレクトの警告が表示され、いきなり自動ではリダイレクトされずに済むわけです。

しかし、このURLに正しい「usg」パラメータを含めると、このリダイレクトの警告を回避して、任意のサイトへ直接誘導することができます。

確認した範囲では、このようなURLは、1例として以下のような形式を取るようです。

• https://www.google.com/url?sa=t&url={ここにURLエンコードされたURL}&usg={ここにusgコード}

見分け方はなかなか難しいところですが、まずは url という文字があればリダイレクトと判断し、さらに usg パラメータが付いているものは意図的にリダイレクトを回避しようとしている。ということで悪意があると判断するのが良いと思われます。

僕も Google の内部仕様に詳しいわけではないのですが、噂によると、この「usg」パラメータは、恐らくは暗号化された検索パラメータか何かなのではないか、との情報があります。

Google 検索には他サイトへ誘導する正規の機能がありますので、恐らくは usg パラメータを使うことで、Google の正規サービスから発行されたリダイレクトに偽装しているものと推測されます。

なお、この usg パラメータは流用可能となっており、特定 URL へのリダイレクトと対応付くものではありません。これはどういうことかと言うと、1つの usg パラメータが用意できれば、例えば、個別ユーザーごとに作られた任意URLへのリダイレクトに流用できるということです。