有名なセキュリティ研究者が、2009年7月の1ヶ月間を使って、Twitterエコシステムに存在する深刻な脆弱性を明らかにする計画を立てている。
7月1日に開始されるプロジェクト「Month of Twitter Bugs」(Twitterバグ月間)は、ウェブのセキュリティ問題に関する業績でよく知られている研究者Aviv Raff氏の手によるものだ。これまでにもTwitter APIが悪用される危険について警告しているRaff氏は、このプロジェクトで、Twitterユーザーを悪意を持ったハッカーの攻撃の危険にさらす、クロスサイトスクリプティング(XSS)とクロスサイトリクエストフォージェリ(CSRF)のセキュリティホールの組み合わせを公開していくという。
私は毎日、twitpwn.comのウェブサイトで、サードパーティによるTwitterサービスの新たな脆弱性について情報発信していく。これらの脆弱性はTwitterワームの作成に利用することができるため、サードパーティのサービスプロバイダとTwitterに対しては、脆弱性を公表する少なくとも24時間前には事前に情報を伝える。
Raff氏は、1つのサードパーティによるTwitterサービス(Twitpicのような)に脆弱性があれば、この人気の高いサービスをワーム攻撃にさらしてしまうというTwitter APIの弱点に対する認知度を高めたいと考えている。
「Month of Twitter Bugs」は、簡単に他の「Web 2.0サービスバグ月間」に変えることもできた。私はTwitterと他のWeb 2.0 APIを提供するプロバイダが、API利用者と緊密に連携して、より安全な製品を開発することを望んでいる。
Raff氏は、初めて行われた1ヶ月間脆弱性をリリースするプロジェクトである「Month of Browser Bugs」(ブラウザバグ月間)で、HD Moore氏や他の研究者と連携していた。その後、同様のプロジェクトでは、AppleのMac OS、スクリプト言語PHP、ActiveXコントロールの問題などのセキュリティ上の欠陥が標的になっている。
別の記事「Social networking attack targets enterprise data」も参照して欲しい。
この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。 原文へ
