X (Twitter) 上で横行する悪意のリダイレクト:プレビューを信用すると騙される?

Here’s why Twitter sends you to a different site than what you clicked

2024/03/20 BleepingComputer — ソーシャルメディア・プラットフォーム X (旧 Twitter) のユーザーが困惑するのは、外部リンクの取り込んだポストをクリックしても、そこに表示されるものとは全く異なる、予想外の Web サイトに到達するときである。この記事で紹介する Twitter 広告は、あるセキュリティ研究者が発見したものであり、リンク先として forbes.com が表示されているが、実際に誘導されるのは暗号詐欺を宣伝するとされる、Telegram のアカウントである。

X のリンク・プレビューは信用するな

その “forbes.com” へのリンクが貼られた Twitter 投稿を発見したのは、セキュリティ研究者の Will Dormann である。この認証済みアカウントからの投稿が発見されたとき、それは Twitter 上の広告として取り扱われていた。

Twitter post with the Forbes link
X/Twitter post showing a ‘Forbes.com’ link
(BleepingComputer)

このリンクを、Web ブラウザ上でクリックする大半のユーザーたちは、怪しげな暗号通貨のアドバイスを提供しているように見える、”Crypto with Harry” の Telegram アカウントにリダイレクトされる。

Telegram account the link redirects to
Telegram account that the link sends users to
(BleepingComputer)
なぜ、このようなことが起こるのか?

外部リンクに対するプレビューでは、リンクをクリックしたときに最初に飛ぶドメインが表示されるのが理想的だが、それとは反対のことが X では実行される。このソーシャルメディア・プラットフォームは、URL からたどり着く最終的なディスティネーションを特定しようと試み、それを Web サイト名として表示する。

現実に、問題となった投稿は、2024年1月29日から運営されている joinchannelnow[.]net という Web サイトへ向けて、ユーザーを誘導している (驚くべきことに、このサイトは Namecheap に登録されている)。

その一方で、X クライアントとは異なり Google Chrome では、リンクにカーソルを合わせると、最初のディスティネーションが表示される。

Chrome vs Twitter URL preview
Chrome vs. Twitter URL preview for the same link
(BleepingComputer)

ユーザーが joinchannelnow[.]net に到達したとき、このサーバが判断するのは、リクエスト送信元が Web ブラウザからなのか、Twitter のようなボットからなのかという点である。つまり、リンク・プレビューの生成の有無を確認していることになる。

この判断は、受信リクエストの User-Agent HTTP ヘッダーのチェックにより行われる。リクエストが Web ブラウザから来ている場合には、つまり、人間がリンクをクリックした可能性が高い場合には、joinchannelnow はユーザーを上記の Telegram アカウントへとリダイレクトする。

その一方で、リダイレクト先などを追跡するための、ボットや自動化ツールが使用されていると疑われる場合には、joinchannelnow により合法的な forbes.com へのリダイレクトが行われる:

URL accessed from a bot redirects to forbes.com
URL accessed from a bot redirects to forbes.com
(BleepingComputer via Wheregoes.com)

このようにして、X とユーザーを騙すのは容易である。そして、ユーザーが到着することになる場所とは、まったく異なる Web サイト名の表示が可能となる。

この欠陥は、特に X のモバイル・アプリで問題となる。デスクトップの Web ブラウザであれば、リンク上にカーソルを置くだけでディスティネーションが判別できるが、モバイルでは不可能である。

その一方で、X モバイル・アプリ上では “forbes.com” とだけ表示され、そのプレビューをタップしたユーザーは、問題の Telegram アカウントにたどり着くことになる。

Twitter Android app showing the same post
The same post displayed in the Twitter Android app (BleepingComputer)

この巧妙な手口は、あらゆる敵対者に悪用される可能性がある。具体的に言うと、暗号詐欺師から、マルウェアやトロイの木馬化アプリのインストール、フィッシング、スパムサービスなどが挙げられる。

BleepingComputer が目にした Reddit の投稿によると、かなり以前から脅威アクターたちは、この欠陥を知っており、また、悪用してきたという。

Twitter の投稿や広告に含まれに外部リンクについては、Web ブラウザのステータス・バーに表示される URL に注意を払い、疑わしいものにはカーソルを合わせず、また、クリックしない方がよい。また、モバイル・デバイスでは、リンクのある投稿を一切タップしないのが最も安全である。

なんというか、訳していて、頭が混乱する記事でした。X (Twitter) アプリからと、Webブラウザからでは、プレビューとして表示されるドメインが異なり、また、それを悪用するリダイレクションでは、人間からのリクエストと、研究者のボットからのアクセスを判別する仕組みが組み込まれているといことです。それにより、この X (Twitter) の欠陥を悪用する試みの検出が難しくなるようです。結論としては、モバイル環境での X (Twitter) では、リンクをタップしないほうが安全とのことです。ただし、これは X (Twitter) に限ったことではなく、Facebook などを含む、あらゆるソーシャルメディアに対して言えるのではないかと思えます。それほどまでの、モバイル広告の氾濫が起こっていますよね。よろしければ、カテゴリ Mobile も、ご利用ください。