私が常々「ウェブ上から消えればいいのに」と思っている仕組みのひとつに、短縮URLサービスがあります。 短縮URLとは、例えば以下のURL:

のようなもので、これをブラウザのアドレスバーに入れて移動すると、

へとリダイレクトされます。 この種のサービスが出現したのがいつのことかは定かではありませんが、1投稿あたり140文字までという制限のある Twitter の普及に伴って、頻繁に目にするようになりました。 現在では、多くの人が、毎日、大量の短縮URLをクリックして、ウェブコンテンツの移動を行っていることでしょう。

しかしながら、短縮URLには「健全な (と私が考える)」ウェブの発展を阻害する性質が備わっています。 このエントリでは、それらの性質について紹介していきます。

通常の (対象のURLを直接指定する) 参照方法では、ウェブ上のコンテンツが下図のように網目状にリンクされる分散型ネットワークが形成されます。 (厳密には有向グラフなのでエッジは矢印で表現すべきなのですが、そうすると位置を合わせるのが面倒なため、単なる線分で表現してあります。)

この状態では、いずれかのコンテンツを保持するノード (サーバなど) が何らかの理由でダウン (利用不可能) 状態に陥ったとしても、一部にリンク切れは発生するものの、基本的に他のコンテンツ間の参照まで切れてしまうことはありません。 このような耐障害性はインターネットのような分散型ネットワークの大きな特長のひとつです。

ところが、これを短縮URLサービスを利用したリンクに置き換えると状況は一変。 すべての参照関係が短縮URLサービスを提供するノード (下図では "C") を中枢とし、これを経由する、集中型のネットワークになってしまいます。

容易に想像できることですが、この状態では中枢となるノードがダウンした場合、すべての参照が切断されることになります。

例えば、短縮URLサービスを提供している企業がその提供を中断・終了したり、組織そのものが解散・消滅してしまった場合、これを利用している膨大な量のコンテンツの価値はほぼ失われてしまうことになるでしょう。 そのような、コンテンツの参照を特定の企業 (あるいは国家であっても) に依存させる構造は、インターネットの理念に反した「不健全」なものであるといえるのではないでしょうか。 しかも、直接URL指定リンクが切れた場合とは異なり、短縮URLからはコンテンツの概要はおろか、それを保持するサーバのドメイン名すら読み取ることができないため、参照の修復は事実上不可能です。 (この「ドメインが読み取れない」という性質は、セキュリティ上の問題をも引き起こすわけですが、それについては後述。)

そしてまた、インターネット上に短縮URLサービスのような関所を出現させることは、利用者の行動監視・検閲を可能にすることを意味します。 何故ならば、短縮URLにアクセスすることは、その提供者に対して「どのコンテンツに」「いつ」「誰が/どこから (アクセス元, ユーザエージェント, 参照元)」アクセスしたかといった情報を差し出すことに他ならないからです。 世界中の人々の短縮URLの利用情報の量は莫大かつ、各利用者の動向を把握するのに十分な精度を持ったものと考えられます。 この情報に反映される個人情報 (ないしプライバシー) の度合いは、公共交通機関の乗車履歴といった、世間一般に「ビッグデータ」として認識されているもの (参照: 情報産業の発展とモラル) とは比較にならないほどのものとなるでしょう。

短縮URL利用者のうち、このことを理解した上で使っている人はどれほどいるでしょうか。 そして、短縮URLサービスの提供者は、収集する情報や、その用途についてどれだけ正確かつ誠実な説明をしているでしょうか。

前節で「短縮URLはリダイレクト先のドメイン名が確認できない」と述べましたが、この性質はフィッシング詐欺、あるいは、ブラウザやビューアの脆弱性を突いた攻撃の道具として、とても有効に機能します。 なにしろ、クリックして実際にアクセスを行うまでリダイレクト先のURLを相手に確認させないでおくことができるわけですから、詐欺師や攻撃者にとっては、自分が用意した罠へカモを誘導するにはこの上なく都合の良い仕組みであることでしょう。

実際、短縮URLが広く使われ始めた時期からほぼ間を置かずに、これが詐欺に使われる事例が報告されています。

Twitterなどで利用が増えている短縮URLにも注意が必要。 人気のブランドをかたった文章に短縮URLを埋め込み、フィッシングサイトへ誘導する詐欺が2009年ごろから多発しているという。 短縮URLでは事前にアクセス先のドメインを確認する事ができないため、クリックする際には注意が必要だ。

今年は「モバイルフィッシング」「短縮URL」に要注意──フィッシング対策協議会 - ITmedia ニュース

特にTwitterを始めとするSNSサイトでは、人気のブランド等の読み手の興味のある記事の中で短縮URLを記載するため、読み手に短縮URLのリンク先が正しいサイトだと思い込ませる効果を持たせていますので、仮に本家サイトを似せて作ったフィッシングサイトであっても気づかなかったりします。このように、短縮URLは文字スペースの節約に便利である反面、リスク増加の要因にもなっているのです。

ASCII.jp：短縮URLを巡る、犯罪者とセキュリティベンダーのいたちごっこ｜週刊セキュリティレポート

これだけ危険なサービスを、ここに至っても未だに提供し続けている企業というのは、よほど無知であるか、よほど無責任であるか、あるいは積極的に詐欺や検閲に加担する意思があるか、のいずれかであろう、というのが率直な感想です。

ちなみに、この危険性の話をすると、「～をすれば自動でリダイレクトさせずに確認ページへ移動させることもできるよ」(例) とか、「リダイレクト先を確認するサービスがあるよ」(例) ということを言い出す人が現れますが、それらは全く問題の解決になっていないということを予め断っておきましょう。 確認ページを挟むリンクしか作れないのであれば多少はマシですが、その動作がオプションならば、詐欺を働こうとする人間はそれを使わないだけの話。 リダイレクト先確認サービスも、使えばそれなりに便利・安全かも知れませんが、どれだけの人が一日に何度もクリックするURLをそれでチェックするでしょうか。 ブラウザのプラグインにもでなれば話は別かもしれませんが、今度はクリックするすべてのURLがその確認サービスに送られることになり、前節で述べた「関所」が場所を変えて作られることにもなりかねません。

私が Twitter を使わないことにしているのは、短縮URLの使用を避けるためでもあります。 新着情報を発信するのに、十分に長いURL (一応、自分が制作したコンテンツのURLは長くなりすぎないよう工夫はしていますが) を掲載することができず、リダイレクト先が確認できない短縮URLでリンクを作って閲覧者にそれを踏ませるという行為が、自身のポリシーとどうしても折り合いません。 傍から見ればどうでもいい「拘り」のように思えるかもしれませんが、そうした「矜持」を失ったときが、技術者であることを止めるべきときなのではないか、と考えています。