TwitterのURL短縮サービスに脆弱性、218万件のURLが改ざんされる

　露Kaspersky Labは16日、マイクロブログサービス「Twitter」で使われているURL短縮サービス「Cligs」に脆弱性があると指摘。Cligsで生成された200万以上のURLが改ざんされ、特定のサイトにリダイレクトされる事態が発生したとして注意を促した。Cligsは、Twitterで4番目に多く使われているというURL短縮サービス。

　改ざんされたURLのリンク先は、Twitterのハッシュタグについて書かれたブログ記事で、悪質なコードは仕掛けられていなかった。Kaspersky Labsは「改ざんした人物はCligsの脆弱性を示したかっただけで、マルウェアに感染させる意図はなかった」とみている。その一方、今後はURL短縮サービスが攻撃者の格好の標的となる恐れがあると指摘している。

　改ざんを受けてCligsは15日、「14日深夜から15日未明にかけて脆弱性を確認した」と報告。一時的にURL短縮サービスを停止し、改ざんされたURLを元の状態に戻したという。しかし、同社が前回URLのバックアップを行っていたのは5月上旬だったため、それ以降に生成されたURLについては復元できない可能性があるとしている。

　続けてCligsは16日、ユーザーのパスワードについては暗号化を施していたため、情報漏えいなどのリスクにさらされた事実はないと説明。また、改ざんされたURLは218万8978件に上り、うち16万1232件（全体の7％）はバックアップが行われていなかったことも明らかにした。

　今回の改ざんをきっかけにCligsはシステムを移行を実施中。現在、ユーザーが作成したURLを新たなデータベースにインポートしているという。同社は今週末までにシステム移行を完了させる予定としている。