TL;DR

X（旧 Twitter）の短縮 URL である t.co を使用してフィッシングサイトに誘導するフィッシング SMS（スミッシング）が多いので t.co について調査。
攻撃者は短縮 URL を作成するために DM などを活用してリンクを作成していると推測。作成したリンクをコピーして SMS などのフィッシングコンテンツに貼り付けているものと考えられる。
当然ながら X を利用してフィッシングサイトに誘導したり、リンクを張るのはポリシー違反である。ただポストされているわけでもなく、閉じられた DM 上で作られてしまっているので第三者が報告できない。
なお X は短縮 URL の誘導先（リダイレクト先）を確認しており、安全ではない誘導先である場合はブロックしているとのこと。ただそのような表示が出ることは感覚的に非常に少ない印象。
t.co の abuse などができれば良いのだが、X 上にそのような問い合わせができる場所は設けられていない模様。なので X Support アカウントにリプライしてみたが、今のところ返信はない。

きっかけ

フィッシングハンターである Naomi Suzuki さんが X にて以下を投稿。

フィッシングサイト、マルウェア配布サイト、架空請求サイトが展開されている点については、今回横に置いておいていずれの投稿でも X（旧 Twitter）の短縮 URL「t.co」から最終的なフィッシングサイト等に誘導している。

本来 X の短縮 URL は X のポスト上にリンクが含まれていた場合に自動的に短縮してポストの文字数を削減したり、リンクの安全性などを担保するために使われている。これらを悪用してフィッシングサイトへの誘導に使われていることを踏まえ今回調査してみた。