TwitterにCSRF脆弱性:フォロワーを増やせるバグの存在が明らかに

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2008-08-01 09:46

 米国時間7月27日、TechCrunchのJason Kincaid氏は「johng77536」氏と呼ばれるユーザーが、人気の高いマイクロブログサービスで何千人ものフォロワー(購読者)を短期間に集めることを可能にした、Twitterの明らかな脆弱性について記事を書いた。

 この「johng77536」氏のアカウントはその後無効にされたが、Twitterのセキュリティホールと弱点を追跡しているあるセキュリティ研究者が、「フォロー」システムを簡単にもてあそぶことができる新たな脆弱性を発見した。

 Aviv Raff氏は、同氏の発見の詳細について説明する、TwitPwn.comと呼ばれる新しいサイトを立ち上げた。

 Twitterには、攻撃者が被害者に、自動的に攻撃者をフォローさせることのできる脆弱性が存在する。

 Twitterのセキュリティチームは、2008年7月31日に通知を受けた。

 技術的な詳細については、この脆弱性が修正され次第追記する。

 Raff氏は私に、CSRF(クロスサイトリクエストフォージェリ)のバグを利用して、特別に作成されたウェブサイトでクリックさせるだけで、私に彼のTwitterアカウントをフォローさせる概念実証コードを示してくれた。スパム業者やフィッシング業者がこの脆弱性を悪用して何千もの「フォロワー」を獲得したり、ソーシャルエンジニアリング攻撃を行うことも可能だろうと思われる。

 Twitterのセキュリティチームは、24時間以内に修正を行うことを約束している。

 Raff氏の発見は、これが初めてではない。同氏は以前にも、Twitterが悪質なリンクを含むスパムメールを送るのに悪用できる、別のバグを修正するのを支援している。これまでに、いくつかのTwitterのクロスサイトスクリプティングのバグが発見されており、修正されている

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    【マンガ解説】まだ間に合う、失敗しない「電子帳簿保存法」「インボイス制度」への対応方法

  2. ビジネスアプリケーション

    きちんと理解できていますか?いまさら聞けないインボイス制度の教科書

  3. 運用管理

    AWS、GCP、Azureを中心としたクラウドネイティブ環境における5つのセキュリティ強化策

  4. セキュリティ

    マンガでわかる―Webサイトからの情報搾取を狙うサイバー攻撃「SQLインジェクション」、どう防ぐ?

  5. セキュリティ

    緊急事態発生時にセキュリティを維持するための8つの戦略と危機管理計画チェックリスト

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]