餃子ランナーは電子機器の夢を見るか?

ランと餃子とデジタルガジェット。ときどき、映画や雑誌の話。言いたいことを言い捨てるブログ。

ランと餃子とデジタルガジェット。ときどき、映画や雑誌の話。言いたいことを言い捨てるブログ。

スポンサーリンク

脆弱性と悪意

スポンサーリンク

脆弱性 【vulnerability】(バルネラビリティー
コンピュータやネットワークなどの情報システムにおいて、第三者が保安上の脅威となる行為(システムの乗っ取りや機密情報の漏洩など)に利用できる可能性のあるシステム上の欠陥や仕様上の問題点。
脆弱性とは【vulnerability】(バルネラビリティー) - 意味/解説/説明/定義 : IT用語辞典

突然だった。最初は何が起きたかよくわからなかった。
その時僕は、Web版のTwitterを見ながら寛いでいた。PCで見る時は、Tweenを使うのが常なのだけれど、Web版もたまに併用している。リプライをくださった方や、新規でいただいたフォロワーの方のツイートを纏めて眺めるのに便利だからだ。
つらつらとTLを追っていくと、その中に、何だかわけのわからないカラーバーのようなものが表示されていた。ツイートでも広告でもないように見える帯のようなものが。
思えば、この時、Twitterの専用クライアントで、その「異常」を確かめてみるべきだった。専用クライアントで眺めてみると、スクリプトの埋め込まれた異常なURL表示のツイートがあり、それが、Web版にあるカラーバー部分の箇所と一致するため、危険であることは察知できた筈だった。しかし、僕はそれを怠った。しかも、カラーバー部分が気になり、クリックしたりしてしまっていた。最悪だ。
結果、このような事態が起きてしまう。


Twitter / ICHIZO: こんにちはこんにちは!!

いきなり、タイムラインにこんなつぶやきが表示されたから驚いた。しかも2連発だった。
なんだなんだ。僕はこんなつぶやきをした覚えはないぞ。この時点で僕は、前述カラーバーとの関連性を想像もしていなかったから、すわアカウント乗っ取りではないかと焦った。パスワードを変更したり、何度もログインログアウトを繰り返したりして、悩んでいたが、異常の原因は、乗っ取りではなかった。Twitterの脆弱性をついた悪意のあるソースコードが原因だったのだ。
タイムライン上で他にも同種の現象が生じていたり、リプライで教えていただいたことにより、やっと僕はその事態を理解した。そしてこれは、Yahoo!ニュースにまで取り上げられるほどの大騒動になっていた。

Twitterの脆弱性を使ったコードが急速に拡散し、意図しないツイートをしてしまうケースなどが多発している。当面の対策として、Webブラウザから Twitter公式ホーム画面にアクセスしないなどの対策をセキュリティーソフト会社やユーザー有志が呼び掛けている。【ITmedia】
Twitterの脆弱性突くコードが拡散 Webブラウザでのアクセス自粛呼び掛け (ITmedia News) - Yahoo!ニュース

僕の被害は「こんにちはこんにちは!!」だけだったが、意図しないRTをしてしまったり、DMがツイートとして流れてしまったりといった現象も発生していたようだ。危険極まりない。
Twitterの脆弱性…とひとくちに言われても、何のことやらわからない人も多いのではないかと思う。僕はなにごとかよくわからなかった。その点については、以下のWebサイトに実験付きで判りやすく述べられているので、気になる方は、是非マウスオーバーイベントを実験していただければと思う。
2010 年 9 月 21 日現在のツイッターのバグ(脆弱性)について
昨晩の脆弱性については、Twitter側でも事態をすぐに把握し、数時間で解決している。このような公式発表も出ているので、この問題は完全に解決している筈だ。
しかし、僕は思う。今回の件は、ひとつの例に過ぎないと。
脆弱性が判明した場合、それに乗じる「悪意」が常にWeb上には存在する。Webサービスを使っている場合、Twitterに限らず、このような危険は常に起こりえるのではなかろうか。昨晩はこの問題についてさまざまな情報が錯綜し、僕も混乱したけれど、出来る限り冷静に事態を把握し、見極めていく必要があると痛感した。
【参考】昨晩の大混乱のまとめ
Togetter - 「『しばらくWebからTwitterのhomeを見てはいけない!』 Twitter XSSテストに巻き込まれた人、先頭から」


マラソン・ジョギング ブログランキングへ