Twitter、XSS攻撃を説明--「onMouseOver」の脆弱性が悪用

 Twitterは米国時間9月21日、同日朝に発生した同社サービスに対する攻撃についてブログで説明した

 Twitterによると、同社は米国太平洋夏時間午前2時54分、それより30分程前より表面化していたセキュリティ攻撃について通知を受け取り、直ちに修正作業に入ったという。主要な問題は同7時に解決し、Hovercardsと結びついたより小規模だが関連する問題を同9時15分までには修正したという。

 Twitterは、今回の問題を発生させた攻撃について、クロスサイトスクリプティング(XSS)が原因で、JavaScriptコードがプレーンテキストとしてツイートに投稿され、そのツイートがユーザーのブラウザで実行可能であった、と説明している。同社によると、この問題は8月に認識および対応されていたが、最近のアップデート(新しいTwitterとは無関係だという)により再度表面化してしまったという。

 また、Twitterは、あるユーザーが問題のセキュリティホールに着目し、Twitter.comで悪用したと述べている。「まず、何者かによりあるアカウントが作成され、そこで、ツイートの色を変更し、そのツイートの上にカーソルを置くとポップアップが表示されるように問題が悪用された。今回の問題が『onMouseOver』の脆弱性と呼ばれるのはこのためで、リンク上にマウスを置くと攻撃が発生する」。さらに、他のユーザーがコードを追加し、オリジナルのツイートを利用者の意識とは無関係にリツイートするようにしたという。

 Twitterは、攻撃の影響範囲として、Twitter.comのみを挙げ、モバイルウェブサイトやモバイルアプリケーションは影響を受けなかったと説明している。さらに、同社は、今回の攻撃に関連してコンピュータやアカウントに害を及ぼす問題については認識しておらず、ユーザーアカウント情報は影響を受けていないので、パスワードの変更は必要ないと述べている。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]