21日、日本国内でも様々なツイートで「うわっ! なんだ、これ!」といったTwitterオフィシャルWebサイト上での異変が報告された。公式Twitterアカウントを通じて「XSS(クロスサイトスクリプティング)による攻撃を受けている」との情報がもたらされたが、筆者がフォローしている人々のなかにはその被害にあわれた方もいた。
![]()
エフセキュアブログで公開されている情報から、"これは!"と唸るようなトピックを中心に紹介している特別企画も併せてチェック!
JavaScriptを用いたXSS脆弱性を突いた攻撃がその正体
エフセキュア研究所のミッコ・ヒッポネンがポストした「Twitter.comに放たれたワーム」によると、"onMouseOver"を巧みに操りマウスカーソルを悪意あるツイート上に動かすだけで、悪意あるメッセージを被害者自身のフォロワーに送信してしまうワームとのこと。
事件発生当初よりミッコは自身のTwitterアカウント「@mikkohypponen」から情報を発信しており、注意を喚起していた。だが、ミッコは「我々はこの問題は継続するのではないかと考えている。おそらくはこの技術をブラウザエクスプロイトと組み合わせるといった、より悪意ある攻撃が現れることはまったくあり得ることだ」と述べている。
 |
実際に今回拡散したワームによる被害は上記のような悪意あるツイートにマウスカーソルを合わせてしまうだけで発動してしまうというXSS脆弱性を突いたものだった |
 |
|
事の発端から状況を把握していたミッコは、自身のTwitterアカウント「@mikkohypponen」を通じて情報を発信していた |
しかもYouTube上で今回の事件についてビデオを公開するなど、そのフットワークの軽さとその観察眼、そして、情報を収集するためのアンテナの高さには驚かされる |
まったく同様の脆弱性を突いた攻撃は収束するだろうが、同種のワームによる被害の防止策をいくつかピックアップしていたので紹介しておこう。
- Twitterをログアウトする
- 「twitter.com」を使用するのではなく、Twitterにアクセスするためのクライアントプログラムを使用する
- JavaScriptをオフにする
21日25時現在で、追記として「TwitterがこのXSS脆弱性をフィックスした。もはや同脆弱性が悪用されることはない」と収束宣言ともとれる一連の事件に対する顛末が述べられてはいるが、「喉元過ぎれば熱さを忘れる」という諺も存在するように、人は過去の出来事を忘れ去ってしまう生き物だ。Twitterサイドに対してもよりセキュアなサービス提供を求めたいが、我々自身も注意を怠らないように気をつけたいものだ。
 |
同じ脆弱性を突かれることはない、とミッコの報告では締め括られているが、悪意ある者たちは常に新たなターゲット、手法を編み出しチャンスを窺っているという事実だけは頭の片隅に入れておこう |