スポンサーサイト 

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
カテゴリ : スポンサー広告
--------(--)

ツイッターが大混乱している理由とは一体!?問題はツイッターシステム? 

ツイッターが大混乱するトラブルが発生しているようですね。

問題はツイッターのシステム側にあるということです。

世界的にも利用者の多いシステムのため問題は深刻ですね。

多くのソーシャルサービスで脆弱性が問題となっていますから深刻化する前に解決してもらいたいです。
 ツイッターで勝手なリツイート(再発信)が頻発、公式サイトが虹色になったり、アダルトサイトへ飛ばしたりなどのトラブルが21日夕方に発生した。


 原因はシステムの不備、脆弱(ぜいじゃく)性だった。(テクニカルライター・三上洋)

 今回のトラブルは、「レインボーツイート」と呼ばれるツイート(つぶやき)が横行したことから始まった。日本時間の21日18時20分過ぎから、特殊なコードが書かれたツイートが流れ、そこにマウスを置くだけで、ツイッター公式サイトが虹色の表示になってしまう。さらに問題のツイートを、自動的にリツイート(再発信)するものも現れ、ツイッター全体が大きな騒ぎとなった。


 原因はツイッターシステムの脆弱性だ。脆弱性を利用する特殊なコードを書くと、悪意のあるスクリプトを実行できる(XSS脆弱性、後述)。


 問題のツイートの多くは愉快犯のイタズラ目的だったが、一部には問題のあるツイートも発見されている。イギリスのセキュリティー対策企業、ソフォスによれば、アダルトサイトへの誘導ツイートもあった。イギリスの前首相夫人であるサラ・ブラウンさんが被害にあったもので、彼女のツイート経由で日本のアダルトサイトへ勝手に飛ばされてしまう事態となった。彼女のフォロワーは110万人以上いるので、多くの人が被害に遭った可能性がある(ソフォスによる英文記事)。


 また、セキュリティー対策企業、エフセキュアのブログによると、この手法をアフィリエイト(サイト誘導で報奨金をもらう)に利用した例も発見されている。自動的にリツイートされる仕組みを使い、1回表示されるごとに収入を得ようとしている(エフセキュアによる英文記事)。

 今回のトラブルの原因は、明らかにツイッター側にある。ツイッターのシステムに、クロスサイトスクリプティング(以下XSS)と呼ばれる不備があり、そこを突かれてレインボーツイートなどの悪意のあるツイートが横行した。


 企業向けセキュリティー対策大手、ラックの西本逸郎氏によれば「XSSの脆弱性によって、ツイートに埋め込まれたJavaScriptが実行できる状態にあった。具体的にはツイッターのアカウント表示に使われる『@』(アットマーク)以下にかかるハイパーリンクの部分を使ってスクリプトが実行されてしまう」と分析している。


 西本氏によると、このツイッターでのXSS脆弱性は、既に8月25日に研究者によって指摘されていた。ツイッターのアカウント名にかかる「@」以下のリンクで、XSS脆弱性があるというものだ(英文記事)。この脆弱性は8月に解決していたが、最近のサイトリニューアルによって再び表面化してしまったものだ。ツイッター側の対応に大きな問題がある。


 今回の事件について、ツイッターは「ユーザーのアカウント情報の乗っ取りはなかった。パスワードは変更する必要はない」とコメントしている。パスワードを取られる可能性はなかったようだが、西本氏によれば「DMは盗み読みされる可能性があった」とのことだ。


 なお問題の脆弱性は、日本時間の21日23時までに解決されている。被害に遭ったのはPC向けの公式サイトのみで、外部ツールや携帯向け公式サイトを利用していた場合は被害は出ていない。

 今回のトラブルでは、ユーザー側ができる防止策はほとんどなかった。公式サイト以外のツールを使う、JavaScriptを切るなどの方法で回避はできたが、事件後の対策であって予防には利用できないだろう。


 ツイッター、mixi、facebookなど、ソーシャルサービスが主流になるにつれ、XSSの脆弱性がセキュリティー上の大きな問題となってきている。昨年からXSS脆弱性が大きな問題になると予測していた西本逸郎氏は「XSS脆弱性が大きな問題点になる理由は三つある。一つは、ほとんどのサイトがJavaScriptを使っていること、二つ目はサイトを書き換えなくても偽サイトへ誘導できるドライブバイダウンロードが可能なこと、三つ目はツイッターなどのサービスではユーザー名、パスワードがほかのサービスでも利用できること」だとして、XSSの脆弱性が問題になるだろうと指摘している。


 今後はサイト運営者側がシステムをしっかり構築すること、及び脆弱性が発見された場合に迅速に対応することが重要になる。ユーザー側ができる予防策はあまりないが、トラブルが発生した場合には、ブラウザーのJavaScriptを無効にすることを覚えておきたい。

(2010年9月24日 読売新聞)
ツイッター大混乱 原因はXSS脆弱性 - 読売新聞

コメントの投稿

非公開コメント

検索フォーム 
月別アーカイブ 
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。