X(旧Twitter)で投稿内の「twitter.com」を「x.com」へ自動変換する試みに合わせてフィッシング用ドメイン取得が続発

2023年7月にTwitterがXに改名してからも「twitter.com」というURLがそのまま使われてきましたが、iOS版アプリにおいて、投稿内にある「twitter.com」が「x.com」に自動的に置き換えられる施策が始まりました。しかし、自動的に変換しているだけなので、この変換機能を悪用したフィッシングの試行があり、機能はわずか2日ほどで停止となっています。

Twitter’s Clumsy Pivot to X.com Is a Gift to Phishers – Krebs on Security
https://krebsonsecurity.com/2024/04/twitters-clumsy-pivot-to-x-com-is-a-gift-to-phishers/

Krebs on Securityのブライアン・クレブス氏によると、現地時間2024年4月9日に「twitter.com」から「x.com」への変換機能が展開されると、そこから2日間で、少なくとも60のドメインがフィッシング用途で取得されたとのこと。

一例が「fedetwitter[.]com」です。このURLは自動変換機能によって、Xの投稿内では「fedex.com」と表示されて、まるで大手運送会社FedExの公式サイトへのリンクのように見えます。あくまで表示上のURLが変換されているだけなので、投稿内のURLをクリックすると、FedExとはまったく無関係な「fedetwitter[.]com」に転送されることになります。

同様に、以下のようなドメインの取得が確認されています。右側は自動変換後のドメインが本来指し示すサイトです。
・square-enitwitter[.]com：square-enix.com(ゲームメーカー・スクウェアエニックス)
・goodrtwitter[.]com：goodrx.com(ヘルスケア情報サイト)
・yandetwitter[.]com：yandex.com(ロシアのポータルサイト)
・roblotwitter[.]com：roblox.com(ゲーミングプラットフォーム)
・neobutwitter[.]com：neobux.com(Paid to Clickビジネスのサイト)

中には、防衛策として取得されたことが明らかにされているドメインも存在しており、たとえば「netflitwitter[.]com」は変換後に「netflix.com」になることから、悪意ある目的での利用を防ぐために日本のXユーザーが取得したものである旨の情報が公開されています。

また、自動的に変換されることを利用して「setwitter[.]com」を取得した人も現れました。当然、Xの投稿では「sex[.]com」に変換されます。

変換機能はiOS版アプリのみで展開されたものとみられ、Xは問題を認識して「twitter.com」への言及のみ「x.com」に変換されるように修正したとのこと。

具体的には、変換が行われる環境では、投稿内の「twitter.com」が「x.com」に変換されます。今回の記事のように「twitter.com」と「x.com」に言及していた場合、両方とも「x.com」に変換されてしまってわけのわからない状態になってしまいます。