自作の短縮URLを社内Slackに貼ったら「フィッシングです」とセキュリティチームに通報された
> Source: Qiita_Trend
Execute Primary Source
// Problem
短縮URLは遷移先を隠蔽できるため、フィッシング詐欺の常套手段として警戒される。特に個人開発の未知のドメインは信頼性が皆無であり、セキュリティポリシーに抵触しやすい。また、短縮用とリダイレクト用でドメインを分離する構成は、不審な挙動として検知されるリスクがある。
// Approach
信頼性確保のため、末尾に特定の記号を付与することで遷移先とOGPを表示するプレビュー機能を実装。さらに、Google Safe Browsing APIを用いたリンクのスキャン機能、および付与されるUTMパラメータの可視化を導入することで、透明性と安全性を高めるアプローチを取った。
// Result
セキュリティチームの承認を得ることで社内導入を実現。エンジニアよりも、UTMパラメータの自動付与やクリック分析を求めるマーケティングや営業部門から高い評価を得た。技術的には、セキュリティとUXのトレードオフ、およびブランドによる信頼性の重要性を再確認した。
Senior Engineer Insight
> 短縮URLサービスの本質は、単なるリダイレクトではなく「信頼の仲介」である。技術的には、リダイレクトの低レイテンシ化やリアルタイムの分析処理が重要だが、本件が示す通り、セキュリティポリシーとの整合性がなければ実運用は不可能だ。プレビュー機能によるUXの低下をどう許容させるか、あるいはバックグラウンドでのスキャン精度をどう高めるかが、プロダクトの成否を分ける。また、エンジニアが既存のBitly等で満足する中で、非エンジニアのペインポイント(UTM管理等)を突く視点は、プロダクト開発において極めて実践的である。