Twitterにセキュリティ懸念--トロイの木馬へのリンクや、自動追跡の脆弱性

文:Elinor Mills(CNET News.com) 翻訳校正:矢倉美登里、高森郁哉

2008-08-06 13:03

 「Twitter」の時代がついにやってきた。

 かつてはWeb 2.0世代のデジタルエリートの遊び場だったマイクロブログサービスのTwitterは、今やオンライン犯罪の標的になるほど主流になっている。

 Kaspersky Labは、一般ユーザーのコンピュータに感染することを唯一の目的として作成された、偽のTwitterプロフィールを発見した。

 Kaspersky Labのブログ「Viruslist.com」によると、「かわいいウサギ」を意味するポルトガル語の偽名で作成されたこのプロフィールは、ポルノビデオを思わせるリンクを掲載しているが、このリンク先の正体は、MP3ファイルを装ってマシンからデータを盗むトロイの木馬ソフトウェアだという。

 「リンクをクリックすると、ビデオを視聴するのに必要であるとして、『新バージョンのAdobe Flash』と称するものの自動ダウンロードの進捗を示すウィンドウが現れる。ダウンロードが終わると、マシンにAdobe Flashという(偽の)ラベルが付いたファイルが保存される。この手口は、現在非常によく使われている」と、同ブログは述べている。

 この攻撃は危険だ。というのも、これにはプログラミング技術が不要なうえ、Googleの検索エンジンで上位にランキングされれば容易に広がる可能性があるためだ。Googleは保護されていないTwitterプロフィールをインデックスするので、検索結果の上位に表示されることも実際に起こり得る。

 Twitterが直面するセキュリティ上の問題はこれだけではない。研究者のAvi Raff氏は米国時間7月31日、Twitterのセキュリティ問題を専門に扱うサイト「Twitpwn」を立ち上げた。

 Raff氏は初日の投稿の中で、攻撃者が他者に自分を自動追跡させることを可能にする脆弱性について書いた。8月4日の投稿によると、「Internet Explorer」に対しては依然として、同氏が発見したこの脆弱性が悪用される可能性があるという。

 Kaspersky Labのセキュリティエバンジェリスト、Ryan Naraine氏は、CNET Newsの姉妹サイトであるZDNetの「Zero Day」ブログで、「スパム送信者やフィッシング詐欺犯は、この脆弱性を悪用して多数の『フォロワー』を獲得し、ソーシャルエンジニアリングによる攻撃を仕掛けるかもしれない」と書いた。

偽名で作成されたこのプロフィールは、ポルノビデオを思わせるリンクを掲載しているが、このリンク先の正体は、MP3ファイルを装ってマシンからデータを盗むトロイの木馬ソフトウェアだという。
提供:Viruslist.com

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]