logo

TwitterへのXSS攻撃--セキュリティ専門家が示す課題 - (page 3)

文:Elinor Mills(CNET News) 翻訳校正:川村インターナショナル2010年09月27日 07時30分
  • 一覧
  • このエントリーをはてなブックマークに追加

 Sullivan氏によれば、Twitterはオープンなネットワークで、Googleなどの検索エンジンの検索対象になるほか、アカウントは誰でも作成可能で、偽名を使うこともできるため、Facebookよりもエクスプロイトの対象になりやすいプラットフォームだという。しかし同氏は、Twitterはそのシンプルさのために、攻撃を発見するのも比較的容易だとしている。

 Twitterの新サイトが、スパム攻撃やマルウェア攻撃を発見して駆除する能力にどのような影響を及ぼすのかは、注目に値する。Sullivan氏によると、例えば、新しい閲覧用ペインからアクセスできるYouTube動画や「Flickr」画像に含まれる悪質なリンクをTwitterが追跡し、取り締まるのは簡単ではないという。

 新興企業にとって、ユーザー数の増加は恵みでもあり負担でもある。SophosのJones氏は、「Twitterは今回の攻撃に迅速かつ効果的に対応したと思う。しかし、Twitterは爆発的な成長を遂げたために、今は後れを取らないように絶えず努力している。インフラストラクチャに関しても、セキュリティに関しても後れを取らないようにしている」と述べる。

 Twitterはポリシーに関しても、いくつか基本的なミスを犯している。例えば、Twitterはツイート内のJavascript(この手法は9月21日の攻撃で使用された)を認めるべきではないとJones氏は言う。「Twitterは品質保証テストをもっと実施すべきだ。今回の問題は簡単に避けられたはずだ」(Jones氏)

 これに対し、Twitterの広報担当Carolyn Penner氏は次のように述べている。「われわれはツイートに実行可能なJavascriptを挿入することを許可していない。今回の問題は21日に何者かが抜け穴を見つけたことで発生した」

 Twitterは、ユーザーが断片的な情報を多くの人々に発信し、受信した人々が再びそれを発信して、それが繰り返し続いていくように設計されている。これはマルウェアやスパムを拡散させるのに理想的な環境だ。WhiteHat Securityの最高技術責任者(CTO)であるJeremiah Grossman氏は「FacebookやGoogleにもクロスサイトスクリプティング脆弱性は存在するが、Twitterの脆弱性はバイラルに使われたので、より人目につきやすい」と話す。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]