X (旧Twitter)のURLカードに致命的な脆弱性。うかつに開かないで

XのURLカード(Webサイトカード、Twitterカードなどとも呼ばれる)を開いた際、カードの左下に表示されているURLとはまったく違うサイトが表示されたことはないだろうか。

例えば以下の例では、『forbes.com』がリンク先として表示されているが、実際にこのURLカードを開くと、仮想通貨詐欺のTelegramアカウントページが開く。

リンク先に『forbes.com』と書いているが

実際には詐欺のTelegramアカウントページが開く

いったいなぜこのようなことが起こるのか、仕組みはこうだ。URLカードを開くと、まず、『joinchannelnow［.］net』というサイトにアクセスする。

まず『joinchannelnow［.］net』へとアクセス

このサイトは、User-Agentを解析して、人間が使っている普通のブラウザであれば詐欺のTelegramアカウントページへと飛ばし、それ以外のXのBOTなどは『forbes.com』へと飛ばす。こうすることで、Xのシステムを騙し、URLカードに『forbes.com』と表示させている。

BOTからのアクセスは『forbes.com』へとリダイレクトされている

この巧妙な手口は、仮想通貨詐欺、フィッシング詐欺、マルウェアサイトへの誘導、トロイの木馬を含んだアプリのインストールなどあらゆる悪用が懸念される。