謎の l.instagram.com ドメインが含まれているDMについて

今Twitterを騒がしているl.instagram.comドメインのメッセージですが、 先日このメッセージが来たので、これの正体について少し探ろうと思います。

この記事内では無害化した複数のリンクを記述しているがもし除く場合は自己責任でどうぞ。

届いたメッセージ

image

リンク(無害化済み):

https:// l [dot] instagram [dot] com /?[My Twitter ID]_41_4559965334=e208e6be6eb9bf297853619e7cbeeeb5&e=ATO57b9Db1Mn3Ux88bPC-yAhRTW3Y4c9jBdUr86_sREpA1AL0RtYnjrvhw3WWJked-hV2C2V&s=1&s=1&u=http:// business [dot] instagram [dot] com /micro_site/url/?event_type=click&site=igb&destination=https%3A%2F%2Fwww.facebook.com%2Fads%2Fig_redirect%2F%3Fd%3DAd-9UUpXVqVLNUx_LYaKZeKek5oYlWjoEdXwzKgPbUE9qRpf4p77ahkKJVJ0kuzPpFtsCo6iNW3tiZLDTY2LPR4xCa63d0ycYdTB4uq9n11GSU2h81N4csFuuiw8b0crQB08jWUYW08n1cc2LujG0j00JXW6R7_-_xEeAwWPs56HHv7PQhgj6ktkhSEU5AhwI8vAMSgikxz8VtJ4JiQRzIjL%26a%3D1%26hash%3DAd9_0TyBjc1n8sHe

わかる人にはわかると思いますが、l.instagram.comドメインはTwitterなどで使われているようなt.coドメインのような役割を持っています。

つまり、これは別サイトへのリンクになっているようです。

ソース

このメッセージのリンク先

最終的にはhttps:// m [dot] ztney [dot] com /#BSTに飛ばされます。

流れとしては

  1. t.coからLocationヘッダでhttp://l.instagram.comに飛ぶ
  2. そのまま307, Locationヘッダでhttps://l.instagram.comに飛ぶ
  3. JavaScriptまたはrefreshタグで下記に飛ぶ
https:// business [dot] instagram [dot] com /micro_site/url/?event_type=click&site=igb&destination=https://www.facebook.com/ads/ig_redirect/?d=Ad-9UUpXVqVLNUx_LYaKZeKek5oYlWjoEdXwzKgPbUE9qRpf4p77ahkKJVJ0kuzPpFtsCo6iNW3tiZLDTY2LPR4xCa63d0ycYdTB4uq9n11GSU2h81N4csFuuiw8b0crQB08jWUYW08n1cc2LujG0j00JXW6R7_-_xEeAwWPs56HHv7PQhgj6ktkhSEU5AhwI8vAMSgikxz8VtJ4JiQRzIjL&a=1&hash=Ad9_0TyBjc1n8sHe
  1. 302, Locationタグで下記に飛ぶ
https:// www [dot] facebook [dot] com /ads/ig_redirect/?d=Ad-9UUpXVqVLNUx_LYaKZeKek5oYlWjoEdXwzKgPbUE9qRpf4p77ahkKJVJ0kuzPpFtsCo6iNW3tiZLDTY2LPR4xCa63d0ycYdTB4uq9n11GSU2h81N4csFuuiw8b0crQB08jWUYW08n1cc2LujG0j00JXW6R7_-_xEeAwWPs56HHv7PQhgj6ktkhSEU5AhwI8vAMSgikxz8VtJ4JiQRzIjL&a=1&hash=Ad9_0TyBjc1n8sHe
  1. 302, Locationタグでhttp:// bartinkizogrenciyurdu [dot] com /STALKに飛ぶ
  2. 307, Locationタグでhttpsに飛ぶ
  3. 5,6の流れをURL末端に/を入れて実施
  4. 302, Locationでhttps://m [dot] ztney [dot] com/_BST_に飛ぶ
  5. いろいろあってhttps:// m [dot] ztney [dot] com /#BSTに飛ぶ(理由がわからんかった)

このリンクはよくできていて、t.coを経由していないと(ほかにも条件はありそうですが)Instagram businessに飛ばされます。

LOG IN WITH TWITTERの挙動

最終的にはTwitterのアプリケーション連携に行くが、途中の流れは下記のようになる。

  1. ボタンはhttps://m [dot] ztney [dot] com/girに飛ぶ
  2. 302, Locationでhttps://www [dot] twitbu [dot] com/web/bridge.php?ref=ztneyに飛ぶ
  3. ランダムなトークンを設定した状態で、302でTwitterの連携画面に

oauth_tokenの値が毎回変更されているのが個人的には面白かった。 連携アプリケーション名はランダムで変更されているようだ。

連携画面はこんな感じ。 image

たれか暇な人API制限かかるまでアカウント登録してみてくれないかな…

最後に

こういうの調べるの楽しい!

Security
最終更新 Nov 15, 2023 16:13 PM JST
© 2021 - 2023 mkarakiのブログ
Built with Hugo
テーマ StackJimmy によって設計されています。