「OAuth」プロトコルに脆弱性--Twitterがサポートを一時停止 - (page 2)

文:Caroline McCarthy(CNET News.com) 翻訳校正:佐藤卓、長谷睦

2009-04-23 12:03

 今回の脆弱性に関してOAuthコミュニティーでコーディネーターを務めているEran Hammer-Lahav氏は、22日の午後にCNET Newsの取材に応じ、「この脆弱性に気づいたのは1週間ほど前のことだ。現在は、確認できるすべてのサービス提供者と連携を取り、この脆弱性について理解してもらうとともに、可能な限り危険を抑える措置を実施できるよう協力しているところだ」と述べた。さらに同氏は、米国太平洋時間で23日0時にOAuthのウェブサイトで詳細を発表する予定だと付け加えた。「この脆弱性を悪用する方法はまだ確認されておらず、従ってこれを利用した攻撃事例は報告されていない。各サービス提供者は、すでにこの問題への対応策を実施したか、現在取り組んでいる最中だ」とHammer-Lahav氏は語っている。

 Hammer-Lahav氏はまた、Twitterが自らを犠牲にしてこの件を表ざたにしないよう努力している点を強調した。Twitterは、OAuthのサポートを中止したとき、その理由がセキュリティホールにあることを明かしていなかった。

 「(OAuth)コミュニティーは、Twitterにとても感謝している。Twitterは非難の矢面に立たされているにもかかわらず、まるで自らの問題であるかのようにこの脅威を抑える努力をしてくれている」とHammer-Lahav氏は説明した。「つまりTwitterは、自らの対外的イメージを犠牲にして、他の関係者が問題に対処できるようにしているのだ。これは自らを守るためではなく、他の関係者を守るための行為だ」とHammer-Lahav氏は語った。

 一方、Twitterの共同創設者、Biz Stone氏は、同社のブログの中でこの脆弱性について次のように語っている。「われわれはセキュリティを重視しており、この問題が収拾されるまでOAuthを一時的に使えないようにすることが責任ある行為だと考えた。Yahooなどの他の企業も同じような決定を下している。今回のサポート中止に最も怒りを感じているのはベータテストグループでTwitterのプロジェクトに取り組んでいる開発者のはずだが、もう少々待っていただけると大変ありがたい」

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

  2. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  3. 運用管理

    IT管理者ほど見落としがちな「Chrome」設定--ニーズに沿った更新制御も可能に

  4. セキュリティ

    シャドーITも見逃さない!複雑化する企業資産をさまざまな脅威から守る新たなアプローチ「EASM」とは

  5. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]