TwitterのXSS脆弱性は解決されたとの発表である。一時的にはブラウザからのアクセスそのものが懸念されたが、深刻な影響は避けられそうである。

Twitterが悪用多発の脆弱性を解決、「パスワード変更の必要はなし」(ITmedia)
Twitter.com,勝手にRTする脆弱性を修正,マウスオーバー問題の..(INTERNET Watch)
Twitterの“XSS騒動”はどのように広まったか(ITmedia 9.25)

　JavaScriptによるポップアップウィンドウや他サイトへの誘導など、かつてあったようないたずら的手口がほとんどだったようだが、それでも他の攻撃コードとの組み合わらせられたりすると、より深刻な影響が起きる可能性はなきにしもあらずであった。たとえば個人情報やパスワードの奪取などの心配である。

　Twitter.comそのものは被害のターゲットだったが、もともと１度気がついていた脆弱性だっただけに、それほど深刻には考えていなかったようだ。ただこうしたニュースが流れると、Twitterのようにユーザが広がっていると、時間経過とともに風評被害の方が大きくなるのではないかと思えた。

　実際、ちょっとTwitterを必要とする場で「TwitterはJavaがなんたらで危険ではないですか」のようなことをさっそく言われた。JavaとJavaScriptの区別ができていない人だとは思いながらも、こういう話がまさにRT(リツイート)のように広がると影響は大きいと思えた。趣味でだけTwitterをやっているケースはともかく、あるシステムでTwitterのタイムラインを組み込んでいたりすると、そのシステム自体が危険だと思われかねないからである。あるいは企画提案の中にTwitterを入れたりするだけで「それはちょっと・・」ということにもなりかねない。

　そうした風評被害が広がる前に、短時間のうちに対策が完了したと宣言したことは、リアルタイムを重視するサービスだけに、とりあえずはよかったといえるだろう。某Ｍ社のように危険なことはさんざん指摘されてはいても、デフォルトで普及してしまって対策パッチもユーザまかせにならざるをえないのでは、本当に信頼できるソフトウェアやサービスにはならない。入っていても「使わないことが一番」になりかねないからである。