「OAuth」プロトコルに脆弱性--Twitterがサポートを一時停止 - (page 2)

　今回の脆弱性に関してOAuthコミュニティーでコーディネーターを務めているEran Hammer-Lahav氏は、22日の午後にCNET Newsの取材に応じ、「この脆弱性に気づいたのは1週間ほど前のことだ。現在は、確認できるすべてのサービス提供者と連携を取り、この脆弱性について理解してもらうとともに、可能な限り危険を抑える措置を実施できるよう協力しているところだ」と述べた。さらに同氏は、米国太平洋時間で23日0時にOAuthのウェブサイトで詳細を発表する予定だと付け加えた。「この脆弱性を悪用する方法はまだ確認されておらず、従ってこれを利用した攻撃事例は報告されていない。各サービス提供者は、すでにこの問題への対応策を実施したか、現在取り組んでいる最中だ」とHammer-Lahav氏は語っている。

　Hammer-Lahav氏はまた、Twitterが自らを犠牲にしてこの件を表ざたにしないよう努力している点を強調した。Twitterは、OAuthのサポートを中止したとき、その理由がセキュリティホールにあることを明かしていなかった。

　「（OAuth）コミュニティーは、Twitterにとても感謝している。Twitterは非難の矢面に立たされているにもかかわらず、まるで自らの問題であるかのようにこの脅威を抑える努力をしてくれている」とHammer-Lahav氏は説明した。「つまりTwitterは、自らの対外的イメージを犠牲にして、他の関係者が問題に対処できるようにしているのだ。これは自らを守るためではなく、他の関係者を守るための行為だ」とHammer-Lahav氏は語った。

　一方、Twitterの共同創設者、Biz Stone氏は、同社のブログの中でこの脆弱性について次のように語っている。「われわれはセキュリティを重視しており、この問題が収拾されるまでOAuthを一時的に使えないようにすることが責任ある行為だと考えた。Yahooなどの他の企業も同じような決定を下している。今回のサポート中止に最も怒りを感じているのはベータテストグループでTwitterのプロジェクトに取り組んでいる開発者のはずだが、もう少々待っていただけると大変ありがたい」