Twitter、XSS攻撃を説明--「onMouseOver」の脆弱性が悪用

　Twitterは米国時間9月21日、同日朝に発生した同社サービスに対する攻撃についてブログで説明した。

　Twitterによると、同社は米国太平洋夏時間午前2時54分、それより30分程前より表面化していたセキュリティ攻撃について通知を受け取り、直ちに修正作業に入ったという。主要な問題は同7時に解決し、Hovercardsと結びついたより小規模だが関連する問題を同9時15分までには修正したという。

　Twitterは、今回の問題を発生させた攻撃について、クロスサイトスクリプティング（XSS）が原因で、JavaScriptコードがプレーンテキストとしてツイートに投稿され、そのツイートがユーザーのブラウザで実行可能であった、と説明している。同社によると、この問題は8月に認識および対応されていたが、最近のアップデート（新しいTwitterとは無関係だという）により再度表面化してしまったという。

　また、Twitterは、あるユーザーが問題のセキュリティホールに着目し、Twitter.comで悪用したと述べている。「まず、何者かによりあるアカウントが作成され、そこで、ツイートの色を変更し、そのツイートの上にカーソルを置くとポップアップが表示されるように問題が悪用された。今回の問題が『onMouseOver』の脆弱性と呼ばれるのはこのためで、リンク上にマウスを置くと攻撃が発生する」。さらに、他のユーザーがコードを追加し、オリジナルのツイートを利用者の意識とは無関係にリツイートするようにしたという。

　Twitterは、攻撃の影響範囲として、Twitter.comのみを挙げ、モバイルウェブサイトやモバイルアプリケーションは影響を受けなかったと説明している。さらに、同社は、今回の攻撃に関連してコンピュータやアカウントに害を及ぼす問題については認識しておらず、ユーザーアカウント情報は影響を受けていないので、パスワードの変更は必要ないと述べている。