Twitterは、「Android」版アプリの深刻なセキュリティ脆弱性について警告した。この脆弱性を攻撃者に利用されれば、アカウントを乗っ取られて非公開のメッセージを見られる可能性があったという。
Twitterによると、このバグはすでに修正済みだという。攻撃者がこのバグを利用してアカウントを乗っ取ると、ツイートやダイレクトメッセージを送信したり、ダイレクトメッセージや非公開のツイート、位置情報を見たりできる。
ただし、攻撃者がユーザーのプライベートな情報にアクセスするには、「Twitterアプリの制限されたストレージ領域に悪意のあるコードを埋め込むといった複雑なプロセス」を踏まなければならない。
Twitterは、悪質なコードがアプリに挿入されたりこの脆弱性を悪用されたりしたという証拠は見つかっていないとしているが、悪用された事実がまったくないとは言い切れないことを認めている。
「Twitterでは、悪意のあるコードがアプリに埋め込まれたことやこの脆弱性が悪用されたことを示す証拠を把握していませんが、念のため細心の注意を払っています」とTwitterはブログで述べた。
このバグは「iOS」版アプリには影響しない。TwitterはAndroid版アプリのユーザーに対し、電子メールとアプリの通知でこの件を伝えている。
「Twitterはこの問題への対策を講じており、この脆弱性の影響を受けた可能性のある利用者に対し、安全性を維持するための特定の手順をTwitterアプリまたはメールで直接通知しています。これらの手順は、利用中のAndroidおよびTwitter for Androidのバージョンにより異なります」と同社は説明している。
あるTwitterユーザーが受け取った通知には、「アカウントのセキュリティを確保するため、できるだけ早く最新バージョンのTwitter for Androidに更新してください」と書かれていた。
Twitter Supportの公式アカウントはツイートで、対象となるアプリのバージョンを明確に示した。この問題が修正されたアプリは、「バージョン7.93.4(11月4日公開の『Android 4.4 KitKat』向けアプリ)とバージョン8.18(10月21日公開の『Android 5.0/5.1 Lollipop』以降向けアプリ)」だ。
また、KitKatより古いバージョンのAndroidはサポートされないという。
Twitterはこのセキュリティ不具合が見つかった経緯を明らかにしていないため、外部のセキュリティ研究者から報告があったのか、社員が発見したのかは不明だ。
Twitterはさらにこの日、サウジアラビアに端を発する偽情報キャンペーンに関わった5929件のアカウントを削除したことも明らかにした。
「これらのアカウントは、さまざまなトピックでスパム行為に関わった8万8000を超えるアカウントからなる大規模なネットワークの中心的存在です。これらのアカウントをすべて永久凍結しました」とTwitterは説明した。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」