TwitterへのXSS攻撃--セキュリティ専門家が示す課題 - (page 2)

文:Elinor Mills(CNET News) 翻訳校正:川村インターナショナル2010年09月27日 07時30分

 今回の攻撃は、ハッカーフォーラムという複雑な地下世界と、コーダーの堂々巡りの議論の中で、かなり静かに始まったようだ。何者かがマウスオーバーエクスプロイトの可能性を偶然発見したという最初の証拠は、日本人ハッカーのMasato Kinugawa氏からもたらされた。Kinugawa氏の21日午前のツイートによると、同氏は8月14日にその問題を発見し、Twitterに通報したという。また8月には、Twitterの2名の従業員がGitHubというコーディングコミュニティーサイトのディスカッションで、マウスオーバーコードに言及している。

 Kinugawa氏は、自分が通報した問題の解決に関して、Twitterは何ら対策を講じていないという印象を抱いていたが、新たに再設計されたTwitterのインターフェースにおいても、まだ問題が残っていることに気付いた。同氏は米国時間9月21日早朝(日本では午後)、「Rainbow Twtr」と呼ばれるテスト用アカウントを作成した。このアカウントでは同じコード脆弱性が使用され、文字によるツイートの代わりに色の付いたブロックが作成される。そのときになって、Holm氏や@matstaなど、ほかのユーザーも問題に気付き始めた。@matstaもワームを作成しており、それ以来同アカウントは停止となっている。

 TwitterのセキュリティチーフであるBob Lord氏は21日午前遅くに投稿したブログ記事の中で、攻撃が発生したことを認め、自分のアカウントがなぜHTMLやJavaScriptの長い文字列をツイートしているのか分からず取り乱しているユーザーを落ち着かせようとした。「今回の事件に関連するエクスプロイトの大多数は、いたずらや宣伝目的に分類されるものだ。この件に関して、コンピュータやユーザーのアカウントに損害をもたらすような問題は認識していない。また、今回のエクスプロイトを通してユーザーアカウント情報は盗まれていないため、パスワードを変更する必要はない」(Lord氏)

 「Twitterは8月にこのセキュリティホールを発見して、パッチを適用したが、新しいTwitterとは無関係の先ごろのサイトアップデートによって、偶然にもそのセキュリティホールが再び姿を現してしまった」(Lord氏)

 先々週サイトを一新したTwitterにとって、今回の攻撃は最悪のタイミングで起きたと言える。リニューアルでは、ウェブインターフェースを全面的に変更して、機能を追加し、マルチメディアコンテンツへのアクセス機能を強化した。また短いメッセージで構成される単一のタイムラインから、ニュースの消費という方向へ向かっている。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]