Twitter、クリックジャッキング攻撃に対処

文:Elinor Mills(CNET News.com) 翻訳校正:編集部2009年02月13日 11時06分

 Twitterが米国時間2月12日、ソーシャルエンジニアリングの性質や人の好奇心につけこむことで急速に広がったクリックジャッキング攻撃を封じた。

 Twitter上に「Don't Click(クリックしないで)」というメッセージとリンクが現れ、ユーザーのクリックを誘った。ユーザーがこれをクリックすると、ユーザー自身のアカウントから「Don't Click」という新たなメッセージとリンクが送信される仕組みになっていた。

 Twitterのオペレーションズエンジニアを務めるJohn Adams氏(Twitterでのユーザー名はnetik)は太平洋標準時刻午前11時に「『don't click』という言葉を使ったクリックジャッキング攻撃を10分前に封じた。問題はなくなったはずだ」と、Twitterに投稿している。

クリックジャッキング攻撃発生数の経過
グラフから、「Don't Click」メッセージがまたたく間にTwitter上で広がったことが分かる。
提供:Sunlight Labs

 Sunlight Labsブログの投稿によると、クリックジャッキングは増殖だけを目的に作られており、害はないという。

 Sunlight Labsの投稿には次のように書かれている。このコードは「ページのiframeを作成し、隠匿する。ボタンをクリックしたユーザーはTwitterにログインしてしまい、(本人には見えなくても)あのメッセージを送信してしまう。攻撃にJavaScriptは介在しない。ページ上で唯一のJavaScriptは、Google Analyticsのコードだ」

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]