Twitterのx.comへの移行、フィッシング詐欺師には贈り物

• Twitter/Xのリンク書き換え機能の副作用:

  • 4月9日からTwitter/Xは、"twitter.com"に言及するリンクを自動的に"x.com"へ書き換え始めた
  • しかし過去48時間で数十件の新しいドメイン名が登録され、この変更がどのように悪用されうるかを示している
  • 例えば fedetwitter[.]com は最近までツイート上で fedex.com と表示されていた

• 新たに登録されたドメインの例:

  • carfatwitter.com: Twitter/X上では carfax.com と表示される
  • goodrtwitter.com (goodrx.com)、neobutwitter.com (neobux.com)、roblotwitter.com (roblox.com)、square-enitwitter.com (square-enix.com)、yandetwitter.com (yandex.com) など
  • これらのドメインにアクセスすると、"Are you serious, X Corp?" というメッセージが表示される
  • これは、Mastodonのあるユーザーが詐欺師に買われるのを防ぐために「防衛的に」登録したものとみられる

• 日本のユーザーによる防衛的ドメイン登録:

  • netflitwitter.com (netflix.com) には、「悪意ある目的で使われることを防ぐために取得した」というメッセージとともにTwitter/Xのユーザー名が表示される
  • space-twitter.com は "amplest0e" というユーザーが登録したとみられ、Twitter/XのユーザーにはCEOの "space-x.com" と表示される
  • ametwitter.com はすでに実際の americanexpress.com にリダイレクトされる

• 潜在的なフィッシングリスク:

  • 新たに登録されたドメインの一部は現在どこにも接続されておらず、登録記録にも有用な連絡先情報が含まれていない
  • 例えば firefotwitter[.]com (firefox.com)、ngintwitter[.]com (nginx.com)、webetwitter[.]com (webex.com) など
  • setwitter.com (sex.com と表示される) は、この最近の変更とその潜在的なフィッシング用途について警告するブログ投稿へリダイレクトされる

• 専門家の見解:

  • DomainToolsの副社長 Sean McNee は、Twitter/Xがリダイレクトの仕組みを適切に制限していないように見えると述べた
  • 悪意ある行為者がこの機会を利用し、正規のサイトやブランドからトラフィックを迂回させる可能性があると指摘した
  • RolexやLinuxのような他の世界的に人気のあるブランドも、登録されたドメインの一覧に含まれていた点は注目に値する

• ユーザーの反応:

  • この明らかなミスは、新CEOの買収後に他のソーシャルメディアプラットフォームへ移った多くの元ユーザーに、面白さと驚きをもたらした
  • UC Berkeley情報大学院の Matthew Garrett 教授は、これを「私が想像できる中で最も面白い出来事ではないが、それにかなり近い」と要約した

GN⁺の見解

• 今回の出来事は、ドメイン登録とセキュリティについて慎重に検討すべきことを示す事例だ。Twitter/Xの変更が意図せず悪用されうることを示している
• 各企業は、自社ブランドやサービスに類似したドメインを事前に確保し、悪意あるなりすましを防ぐ必要がある。一部ユーザーがこれを先回りして行ったのは望ましい行動だ
• ただし、防衛的なドメイン確保は一般ユーザーにとって簡単ではない場合がある。企業レベルでの対応が必要に見える
• Twitter/Xは今回のミスに対する技術的な改善策を用意すべきだろう。特定のドメインパターンに対する過度な一般化が問題の原因だったようだ
• ソーシャルメディア企業は、ユーザー利便性向上のための変更を行う際に、セキュリティリスクも併せて考慮すべきだ。十分な検討とテストなしの拙速な変更は、利益より害のほうが大きい可能性がある