Twitterの脆弱性を突くコードが出回る

Twitterに新たなXSS脆弱性が見つかり、実際その脆弱性を突くコードが出回っているのだという。これだけTwitterを利用しているユーザが増えているだけに、かなり身近な問題といえるだろう。

Twitterの脆弱性突くコードが拡散 Webブラウザでのアクセス自粛呼び掛け(ITmedia)
Live Twitter XSS(SECURELIST:Kaspersky Lab)
XSS attack identified and patched. (Twitter Status)

 コードによっては、Web画面からTwitterにログインするだけでJavaScriptのコードが実行されてしまい、意図しないツイートが行われてしまうことがあるようだ。Kaspersky Blogにその様子が載っている。Twitterは事実上、ツイートの入力窓しか操作部分がないわけだが、そこからXSSが実行されてしまうのではあまりにもシンプルすぎるような気もする。メッセージにコードも埋め込む(JavaScriptだけのようだが)タイプのごくありふれたXSSのようにも見える。ところが、Twitterのサーバー側で適切に処理されない脆弱性が存在していたようである。


 現時点ではTwitter全体にパッチが当てられたとのことであるが、当分は要注意とのことである。そのためのクライアント側の当面の措置としては

  • ログインしたままにしない
  • JavaScriptをオフにする
  • WebでTwitterにアクセスしない


だそうである。アクセスしないというのが一番安全ではあるが、それはTwitterを利用しないということと同じである。かつてのメールのウイルス被害にも似て、最終的にはスパムのような、ツイートの連鎖を狙ったものが出現しているようである。多くの人が利用するようになると、それだけターゲットになりやすくなっているわけだが、これがTwitter熱が冷める要因にならなければよいが、とも思う。