今回の攻撃は、ハッカーフォーラムという複雑な地下世界と、コーダーの堂々巡りの議論の中で、かなり静かに始まったようだ。何者かがマウスオーバーエクスプロイトの可能性を偶然発見したという最初の証拠は、日本人ハッカーのMasato Kinugawa氏からもたらされた。Kinugawa氏の21日午前のツイートによると、同氏は8月14日にその問題を発見し、Twitterに通報したという。また8月には、Twitterの2名の従業員がGitHubというコーディングコミュニティーサイトのディスカッションで、マウスオーバーコードに言及している。
Kinugawa氏は、自分が通報した問題の解決に関して、Twitterは何ら対策を講じていないという印象を抱いていたが、新たに再設計されたTwitterのインターフェースにおいても、まだ問題が残っていることに気付いた。同氏は米国時間9月21日早朝(日本では午後)、「Rainbow Twtr」と呼ばれるテスト用アカウントを作成した。このアカウントでは同じコード脆弱性が使用され、文字によるツイートの代わりに色の付いたブロックが作成される。そのときになって、Holm氏や@matstaなど、ほかのユーザーも問題に気付き始めた。@matstaもワームを作成しており、それ以来同アカウントは停止となっている。
TwitterのセキュリティチーフであるBob Lord氏は21日午前遅くに投稿したブログ記事の中で、攻撃が発生したことを認め、自分のアカウントがなぜHTMLやJavaScriptの長い文字列をツイートしているのか分からず取り乱しているユーザーを落ち着かせようとした。「今回の事件に関連するエクスプロイトの大多数は、いたずらや宣伝目的に分類されるものだ。この件に関して、コンピュータやユーザーのアカウントに損害をもたらすような問題は認識していない。また、今回のエクスプロイトを通してユーザーアカウント情報は盗まれていないため、パスワードを変更する必要はない」(Lord氏)
「Twitterは8月にこのセキュリティホールを発見して、パッチを適用したが、新しいTwitterとは無関係の先ごろのサイトアップデートによって、偶然にもそのセキュリティホールが再び姿を現してしまった」(Lord氏)
先々週サイトを一新したTwitterにとって、今回の攻撃は最悪のタイミングで起きたと言える。リニューアルでは、ウェブインターフェースを全面的に変更して、機能を追加し、マルチメディアコンテンツへのアクセス機能を強化した。また短いメッセージで構成される単一のタイムラインから、ニュースの消費という方向へ向かっている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス