ツイッターの「マウスオーバーの」問題の件

  • 投稿日:
  • by
  • カテゴリ:

 昨晩突如としてツイッターを襲ったXSS脆弱性(ぜいじゃくせい)の問題。特定ツイートのリンクにマウスオーバーするだけで、勝手にツイートを送信されたりする問題が発生していたのですが、深夜に対応が完了したみたいですね。

「マウスオーバーの」問題についての全容 [twitterブログ]

概要: 日本時間の9月21日午後6:54に Twitter におけるセキュリティ上の弱点に対する
悪用が30分前より発生していることを確認し、即座に問題の対応にあたりました。日本時間21日午後11時までに問題の主要因を解決し、22日午前1:15にホバーカードに関連した小規模な問題も解決が完了しました。

へー、午後6時頃から発生していたんですね。打合せ中だったんですけど、変なツイートが流れてくるなぁと思ったら、すごい勢いで広がっていたんですね、、、。

 で、原因ですが、

詳細: 昨日夜に発生したセキュリティ上の弱点を付く悪用は、クロスサイトスクリプティング (XSS) によって引き起こされる問題です。クロスサイトスクリプティングとは、危険のあるサイトから他のサイトにプログラムコードを配置する手法です。今回の場合、ユーザーが JavaScript コードを文字列としてツイートの中に設定した上でツイートを投稿し、他のユーザーのブラウザ上でその JavaScript コードを実行させようとするものでした。

まー、よくある話なんですけど、ツイッターの特徴も相まってすご勢いで広がっちゃったわけですよね。クリックだけだったらココまで広がらなかったんでしょうけど、マウスオーバーするだけで起動するようになっていたのが秀逸極悪でしたね、、、。正直、絶対にこんなのに引っかからないだろうって人もどんどん引っかかってて、自分も引っかかる可能性は十分あっただけに、いくら何でもサービス側でこれは防いでもらわないとなぁと思いました。

 この件の詳細は、是非公式サイトをチェックしてもらいたいのですが、本当にツイッターにはインフラとしての地味ぃーな開発や運用も頑張ってもらいたいものです。

[追記.10:45]
Gizmodoの広まった経緯の話しが秀逸です。どんなことになっちゃったかのムービーまであります。
世界的猛威を奮ったTwitterマウスオーバー・バグはどう広まった?


 実は、ウチの社内でも二人ばかりひっかかってて、ちょうど自分が情報収集をしている最中だったので、プチ混乱してました。最初はXSSの程度というか、どこまで悪さをしてるか分からなくて、「Macだったら大丈夫」とか訳の分からないことを思ったりしてましたが(ブラウザの問題なのでOS無関係、、、)、現在知る限りパスワード奪取とかそういう流れにはならなかったみたいですね。

 でも、XSS悪用だったら可能性としては色々怖いことが出来るはずなんですよね。自動でアカウント奪取は難しいのかもしれないけど、ユーザー側に何らかの入力を促して悪い事は出来たかもしれませんからね、、、ああ、恐ろしい。ちょっとこのあたりは自分でハッキリと書けないので(よくわかんない)、詳しい記事が待たれます。