TwitterにCSRF脆弱性:フォロワーを増やせるバグの存在が明らかに

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2008年08月01日 09時46分

  • このエントリーをはてなブックマークに追加

 米国時間7月27日、TechCrunchのJason Kincaid氏は「johng77536」氏と呼ばれるユーザーが、人気の高いマイクロブログサービスで何千人ものフォロワー(購読者)を短期間に集めることを可能にした、Twitterの明らかな脆弱性について記事を書いた。

 この「johng77536」氏のアカウントはその後無効にされたが、Twitterのセキュリティホールと弱点を追跡しているあるセキュリティ研究者が、「フォロー」システムを簡単にもてあそぶことができる新たな脆弱性を発見した。

 Aviv Raff氏は、同氏の発見の詳細について説明する、TwitPwn.comと呼ばれる新しいサイトを立ち上げた。

 Twitterには、攻撃者が被害者に、自動的に攻撃者をフォローさせることのできる脆弱性が存在する。

 Twitterのセキュリティチームは、2008年7月31日に通知を受けた。

 技術的な詳細については、この脆弱性が修正され次第追記する。

 Raff氏は私に、CSRF(クロスサイトリクエストフォージェリ)のバグを利用して、特別に作成されたウェブサイトでクリックさせるだけで、私に彼のTwitterアカウントをフォローさせる概念実証コードを示してくれた。スパム業者やフィッシング業者がこの脆弱性を悪用して何千もの「フォロワー」を獲得したり、ソーシャルエンジニアリング攻撃を行うことも可能だろうと思われる。

 Twitterのセキュリティチームは、24時間以内に修正を行うことを約束している。

 Raff氏の発見は、これが初めてではない。同氏は以前にも、Twitterが悪質なリンクを含むスパムメールを送るのに悪用できる、別のバグを修正するのを支援している。これまでに、いくつかのTwitterのクロスサイトスクリプティングのバグが発見されており、修正されている

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つプレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!