ミッションたぶんPossible

どこにでもいるシステムエンジニアのなんでもない日記です。たぶん。

本日発生したTwitterのXSS脆弱性記事まとめ

 みなさん既にご存知だとは思いますが、TwitterXSS脆弱性が発見され、それがあっという間に蔓延して大騒ぎになっています。オレも長い事Twitterを使ってきて、過去には何度かこの手の騒ぎもありましたけど、ここまで大騒ぎになったのは初めてです。実際に被害も多数出ており、その手口も実に様々。ほとんどが単なる脅かしやギャグで終ってますが、その陰で実際にCookieの情報盗難やアカウントの乗っ取りなど、実際に起こってないとは言い切れません。

 実はお恥ずかしながら、先ほどオレも被害に遭いました。自宅のPCで昨晩からブラウザ上にTwitter公式Web画面を表示させていたところ、更新が走った瞬間に画面が暗転し、謎のメッセージが表示されました。気付いたら意図しないメッセージが自分のアカウントでPOSTされており・・・。この騒ぎは会社で知っていたので十分に気をつけていたつもりでしたが、情けない限りです。


 なんでも今回の問題、Twitterハッシュタグ「#」とreply「@」を重ねて使う事で発生する不具合を利用することで、そこからCSSだろうがJavaScriptだろうが何でも自由に動かせるとの事。

 私はjQueryは詳しく無いんですが、お世話になっている会社の人によると、jQueryのgetScript()ができることからJavaScriptでやりたい放題らしいです。



 最近のブラウザはHTML5対応が進んでいます。権限的にどこまで許されるのか分かりませんが、HTML5の仕様範囲にはローカルファイルへのアクセスやローカルストレージのR/Wなども含まれますので、これらが乗っ取られるような事態になると、WinnyやShareに匹敵するセキュリティ事故に発展しかねません*1


 今回の被害を防ぐ唯一の方法は「JavaScirptの動く環境でTwitterを閲覧しない」これに尽きます。ブラウザではJavaScriptをOFFにしない限り閲覧するのは危険なのですが、TwitterJavaScriptをOFFにすると動かないみたいですね。つまりブラウザではTwitterは見られないということです。



 その他いくつかの公式アプリでも不可。ブラウザ拡張系の専用クライアントも危険でしょう。Flash製とかWindowsデスクトップアプリのTwitter専用クライアントやスマートフォンの専用アプリであればまだ安心でしょうか?

 あとはブラウザのCookieや履歴、キャッシュを一回きれいに削除する事。「Cookieが消えるとめんどくさい」なんてタルいこと言ってて情報盗まれても知りませんよ。


 ついさきほど、Twitterの運営会社が本脆弱性への対応を完了したとの噂も目にしましたが、まだ確認は取れていません。正式な発表があるまで冷静に対処して下さい。



 以下では今回の脆弱性に関する記事を集めてみました。以後も随時追加していきたいと思います。

http://yebo-blog.blogspot.com/2010/09/twitter-xss.html
2010 年 9 月 21 日現在のツイッターのバグ(脆弱性)について
今日Twitterに『RainbowTwtr』がこんにちは!!した経緯 - Togetterまとめ
『しばらくWebからTwitterのhomeを見てはいけない!』 Twitter XSSテストに巻き込まれた人、先頭から - Togetterまとめ
twitterのspamスクリプト踏んじゃった - やねうらお−ノーゲーム・ノーライフ
TwitterにXSS攻撃--ソフォス報告 - CNET Japan
Twitter、XSS攻撃を説明--「onMouseOver」の脆弱性が悪用 - CNET Japan
【緊急】Twitter公式Webから今すぐログオフを。XSSの問題(9/21 20時JST)(追記:23時対応済み):データイズム:オルタナティブ・ブログ
Twitterの脆弱性突くコードが拡散 Webブラウザでのアクセス自粛呼び掛け - ITmedia ニュース
http://hamusoku.com/archives/3604993.html
Twitterに弱点、悪用で被害多数:日経ウーマンオンライン【トレンド(スキルアップ)】
世界的猛威を奮ったTwitterマウスオーバー・バグはどう広まった?|ギズモード・ジャパン



9/22 0:12追記

 公式の発表によると22:50頃修正パッチの適用が完了したそうです。おそらくもうしばらく経ってからキャッシュ削除→リロードで正常に動きだすんじゃないでしょうか。

System Status Page
Twitter ステータス - XSSアタックについて認識し、パッチによる修復作業を行いました。


9/22 7:30追記

 Twitter運営から詳細なコメントが発表されました。

http://blog.twitter.jp/2010/09/blog-post_22.html

*1:この辺は憶測で書いているので確証はありませんが、念のため気をつけろ程度に留めておいて下さい。