Twitter.com、勝手にRTする脆弱性を修正、マウスオーバー問題の全容を報告


 「Twitter.com」のXSSの脆弱性を悪用し、自身をリツイート(RT)するツイートなどが拡散していた件について、米Twitterは日本時間の21日22時50分、修正パッチによる対応を完了したと発表した。追って22日早朝には、この問題の全容について公式ブログで報告し、じつはこの脆弱性は一度修正したものが再発したものだったことを明らかにした。

 この問題は、Twitterが運営する公式サイト「Twitter.com」をTwitterクライアントとして使用中、タイムライン上に表示される細工されたツイートにマウスオーバーするだけで、勝手にRTなどされてしまうというもの。JavaScriptの「onMouseOver」コードをツイート内に含めることで実行していた。ユーザーが意図しないうちにフォロワーにRTされてしまうため、著名人を含む多数のTwitterアカウントのタイムライン上で、この脆弱性を突くツイートが見られたようだ。

 Twitterブログによると、同社がこの脆弱性の悪用を確認したのは日本時間の21日18時54分で、その30分前から発生していたという。同日23時までに問題の主要因を解決した後、22日1時15分にはHovercards機能(ユーザーの情報などを表示する小ウィンドウ)に関連した小規模な問題も解決したとしている。

 なお、この問題は8月にすでに発見されていたものであり、修正パッチで一度対応していたという。しかし、最近行ったアップグレードで再発。日本時間の21日夜、これに気付いたユーザーが悪用し始めたという。ツイートにマウスオーバーすると勝手にテキストを表示したポップアップ画面を表示するものが登場し、さらにこれを発展させ、ユーザーが認識しないうちに勝手に元のツイートをRTするコードも追加されたとしている。

 この悪用の発生を受けて注意を呼び掛けていたフィンランドF-Secureでは、ブラウザーの攻撃コードなどと組み合わせることで、さらに悪質な攻撃に悪用される恐れがあることも指摘していたが、Twitterでは「この問題に関連する大部分の悪用行為は、いたずらや宣伝行為の範疇になると考えている」とコメントしている。

 英Sophosの上級技術顧問であるGraham Cluley氏のブログでは、日本のアダルトサイトにリダイレクトしようとする悪用行為も確認されたとして、画面写真や再現動画とともに報告している。


関連情報


(永沢 茂)

2010/9/22 12:53