米国時間7月27日、TechCrunchのJason Kincaid氏は「johng77536」氏と呼ばれるユーザーが、人気の高いマイクロブログサービスで何千人ものフォロワー(購読者)を短期間に集めることを可能にした、Twitterの明らかな脆弱性について記事を書いた。
この「johng77536」氏のアカウントはその後無効にされたが、Twitterのセキュリティホールと弱点を追跡しているあるセキュリティ研究者が、「フォロー」システムを簡単にもてあそぶことができる新たな脆弱性を発見した。
Aviv Raff氏は、同氏の発見の詳細について説明する、TwitPwn.comと呼ばれる新しいサイトを立ち上げた。
Twitterには、攻撃者が被害者に、自動的に攻撃者をフォローさせることのできる脆弱性が存在する。
Twitterのセキュリティチームは、2008年7月31日に通知を受けた。
技術的な詳細については、この脆弱性が修正され次第追記する。
Raff氏は私に、CSRF(クロスサイトリクエストフォージェリ)のバグを利用して、特別に作成されたウェブサイトでクリックさせるだけで、私に彼のTwitterアカウントをフォローさせる概念実証コードを示してくれた。スパム業者やフィッシング業者がこの脆弱性を悪用して何千もの「フォロワー」を獲得したり、ソーシャルエンジニアリング攻撃を行うことも可能だろうと思われる。
Twitterのセキュリティチームは、24時間以内に修正を行うことを約束している。
Raff氏の発見は、これが初めてではない。同氏は以前にも、Twitterが悪質なリンクを含むスパムメールを送るのに悪用できる、別のバグを修正するのを支援している。これまでに、いくつかのTwitterのクロスサイトスクリプティングのバグが発見されており、修正されている。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
