警告:Twitter.comを当分訪問しないこと―ツイートにマウスオーバーしただけでJavascriptが実行されてしまう脆弱性あり〔すでに修正ずみ〕

次の記事

Twitterのダイレクトメッセージはよく公開ツイートになってしまう–CEOのEvan Williamsも犠牲者に

警告:TwitterのツイートにJavascriptでコードを書くと、他のユーザーがそのツイートの上にマウスオーバーしただけで何かポップアップするという現象が発見された。現在このバグを利用したいたずらがTwitterユーザーの間で大流行している。

これまではリックロール〔無関係なビデオへのリンクを張るジョーク〕のたぐいが大部分だったが、本物のワルもこの現象に気がつき始めたので注意が必要だ。この脆弱性の利用はこれまで主にジョークだったが、サイバー犯罪者なら悪意あるコードを含むウェブサイトにリダイレクトしたり、スパム広告のポップアップを表示させたりできる。[アップデート:この脆弱性を利用すると本来のユーザーになりすまして勝手にツイートすることもできる。10分間で4万件ものスパムツイートが投稿された例があるという。]

この脆弱性が現れるのはTwitterのウェブサイト(Twitter.comドメイン)だけだ(といっても世界最大のTwitterクライアントである)。TweetdeckやSeesmicなどサードパーティーのクライアントは安全だ

セキュリティー専門企業のSophosは次のように説明している

Twitterのウェブサイトに、ツイートにマウスを載せるだけでメッセージ・ウィンドウやサードパーティーのウェブサイトがブラウザ内にポップアップするという脆弱性が発見された。現在この脆弱性は多くのユーザーによって悪用されている。何千というTwitterアカウントがこの脆弱性を利用した攻撃によって乗っ取られスパムメッセージを発信中だ。被害者にはイギリスのブラウン前首相の妻、サラ・ブラウンも含まれている。サラ・ブラウンのあるツイートが日本のハードコア・ポルノサイトにリダイレクトされるように設定されてしまった。サラ・ブラウンのフォロワーは100万人もいたので大勢が大いに迷惑したことだろう。ブラウン夫人の名誉のために付け加えておけば、彼女はすぐに「先程のツイートの上にマウスを乗せないようにしてください。何だかとても変なことが起きています。―サラ」という警告を投稿した。一部のユーザーはこの脆弱性を利用してツイートに何色もの色のブロックを表示させた(レインボー・ツイートと呼ばれている)。奇妙な色に釣られて、一部のユーザーはこのツイートを好奇心からクリックしてしまうようだ。

事態は現在進行中なので今後のニュースに注意を払っていただきたい。

アップデート:この脆弱性の利用はRainbowTwtr というアカウント(危険なので近寄らないこと)から始まったものとみられる。このアカウントのツイートにマウスを載せると、虹のような多色のブロックが表示される。このアカウントを見た他のユーザーが脆弱性の存在を知り、さらに悪用が考えられたらしい。

アップデート2:上で述べたように、Twitter APIを利用したサードパーティーのクライアントにはこの脆弱性は発見されていないので安全である。また最近リリースされた新しいTwitterインタフェース(現在北米を中心に提供されている)にもこの問題はない。

アップデート3: ブロガーのEspen Antonsenによると、@judofyrなるユーザーが作ったワームは、最初はツイートの背景を黒に変えるだけの無害なものだったが、次に作成されたのはonmouseoverを利用したスクリプトで、他のユーザがツイートの上にマウスを載せるとマウスが勝手に動き出して止めることができなくなり、10分間に4万もののスパムツイートが発信されたという。つまりTwitterはURLの@の後に来る文字列をエンコードせず、何でもそのまま実行してしまうらしい。cssもjavascriptも有効だ。その後、別のユーザーがさらに悪質はツイートを作成したという。ありそうなことだ。

アップデート4:この記事のコメント欄である読者が以下のような被害を極限する対策を提案している。「ユーザーは被害に気づいたらmobile.twitter.comにログインし、強制的に投稿させられてしまったツイートを削除する。他のユーザーがそのツイートの上にマウスを載せてさらに被害が拡大する前にできるだけ早く削除を実行することが必要だ。また念のため、パスワードも変更しておいた方がよい」

アップデート:TechCrunchは後続記事で「Twitterはこの脆弱性をすでに修正した」と伝えている。

[原文へ]

(翻訳:滑川海彦/namekawa01