今年の春頃から、有名ブロガーを中心に大流行した「ミニブログ」サービスの走りであるtwitterですが、このたびセキュリティホールが発見されたようです。詳細は以下より。
どうやらtwitterに新しく追加されたユーザー検索機能にチェック抜けがあったようです。ウィンドウのタイトルバーに文字を表示する部分(title要素といいます)に、ユーザーが入力した検索文字列をそのまま表示してしまうため、そこに悪意あるコードを埋め込めてしまうようです。
また、twitterで流れているリンクはTinyURLというURL(ウェブ上のアドレス)を短くするサービスで短くされたものが表示されるため、うっかり踏んでしまう人が続出しているようです。
TinyURLではこのようないたずらを防ぐために、プレビュー機能というものを搭載しています。TinyURL.comのプレビュー機能のページから、「click here enable previews.」というリンクをクリックする事で設定できます。解除するためには「click here enable previews.」というリンクをクリックしてください。
これで元のURLを確認してから見られるようになりますので、「http://twitter.com/tw/search/users?q=」で始まるURLは、twitterがセキュリティホールをふさぐまで決して踏まないようにしてください。
ただし、今回の攻撃コードは http://hamachiya.com/twi**er04 (安全のために伏字にしてあります) に置かれており、TinyURLの短縮アドレスもそちらを指しています。このURLにアクセスすると攻撃URLにさらに転送される、という手のこんだことをしています。
ですので、TinyURLでURLをプレビューしたあとも、JavaScriptを切ってからアクセスするなどの対応をしてください。
また、ドメインなどから、今回のセキュリティホールを見つけたのは、IEを一撃でクラッシュさせるたった1行のコードなどが記憶に新しい日本人ハッカー、はまちちゃんであると思われます。
ええそうです、つまり今回の罠にひっかかると、問答無用でtwitterに「ぼくはまちちゃん! こんにちはこんにちは!!」と発言させられてしまうのです!
いやはやおそろしいですね、恐いですね。
いやホントにその程度で済んでよかったです。本当にこのセキュリティホールを悪用したら、もっと甚大な被害を出すこともできるのですから。みなさん、本当に注意してくださいね。
追記
27日20時ごろ確認したところ、twitter側で対応したようです。title要素に検索文字列を入れるのをやめただけという対処ですが、普通に危ない文字を置換して表示というふうにはできなかったのでしょうかね?