Twitterの“XSS騒動”はどのように広まったか

　Twitterの大騒動から1日、このいたずらを仕掛けた犯人たちがどうやってユーザーをリダイレクトし、訳の分からないリツイートを大量にばらまいたのかが明らかになってきている。意外なのは、犯人のほとんどはコンピュータを乗っ取ったり、情報を盗もうとする犯罪者や攻撃者ではなく、セキュリティホールを利用して何ができるのか見てみようと好奇心に駆られたユーザーだったということだ。

　各紙報道によると、TwitterのホームページのXSS（クロスサイトスクリプティング）脆弱性を最初に発見したのは、Masato Kinugawaと名乗る日本人開発者だった。彼はこれを利用して、虹の七色のツイートを作った。ノルウェーのRubyプログラマー、マグナス・ホルム氏も騒動に荷担した1人で、New York Timesによると、このXSS脆弱性を悪用する最初のワームの作成者という。同氏はKinugawa氏のコードを見て、自分のアイデアに利用したと報じられている。同氏はコードを拡張して自身をリツイートするようにし、「このワームは広がらないだろう。ユーザーはツイートを削除すればいい」と投稿し、「マウスオーバー」コマンドへのリンクをツイートした。

　XSSのバグが原因で、誰かがこのツイートにマウスカーソルを載せるとすぐにその内容がリツイートされた。

　ホルム氏は脆弱性を「実験」したかっただけだとし、20万人を超えるユーザーにワームが広がったことに驚いたと語っている。

　オーストラリアに住む17歳の少年、ピアース・デルフィンくんも好奇心に駆られて脆弱性を突いたユーザーの1人。彼はKinugawa氏のコードを改造して、「uh oh」と表示するonMouseOver JavaScriptコマンドを埋め込んだツイートを作成した。

　「できるかどうか試しただけ。JavaScriptは本当にツイート内で実行された」と彼はAFPに語っている。

　ほかの人たちもすぐに気づき、コードを改造して独自のバージョンを作成し、自動リツイートを実行したり、ユーザーをポルノサイトにリダイレクトした。愉快なものもあったが、ほとんどはそうではなかった。

　大騒ぎになり、大量のスパムが投稿されたものの、作成されたワームのほとんどは混乱を引き起こすことが目的の無害ないたずらだと分かった。Kaspersky Labは、最大で50万人が影響を受けた可能性があるとしている。

　「これに関連する問題でコンピューターやアカウントに対して危害を加えるようなことはありません」とTwitterは述べている。

　英国首相の妻サラ・ブラウンのTwitterページにアクセスした人は、日本のポルノサイトにリダイレクトされた。別のワームは、ホワイトハウスの報道官ロバート・ギブ氏のフォロワー10万人にでたらめなスパムメッセージを送った。1980年代の歌手リック・アストレイの「Never Gonna Give You Up」のミュージックビデオを掲載したサイトにユーザーを飛ばすワームも広がった。

　Twitterは被害はなかったと主張しているが、New York Timesは、ユーザーのコンピュータにロシアのサーバから不正コードをダウンロードするワームもあったとしている。

　Kinugawa氏は8月14日にXSSの脆弱性を発見してTwitterに連絡した。Twitterはブログで、この問題は先月修正したが、サイトのアップデート（先日同社が発表した新バージョン とは無関係）により古いデザインでこの問題が再発したと述べている。既に新しいデザインに移行しているユーザーや、サードパーティーのアプリを使ってツイートを読んでいるユーザーには影響はなかった。FirefoxのNoScriptアドオンのようなJavaScriptブロックツールを使っているユーザーも影響を受けなかった。

　Twitterはすぐにこの脆弱性を修正した。報道によると、同社は午前5時24分（米東部時間）に問題を認識し、午前10時23分にパッチを当てた。同社は、この脆弱性でユーザーアカウント情報が侵害されたわけではないので、パスワードを変更する必要はないとしている。

　Twitterを打ちのめしたこの脆弱性は、非常に初歩的なミスだ。実際、XSSの脆弱性は7割のWebサイトにあるとWhiteHat Securityは報告している。Webサイト運営者や開発者はこの問題を比較的無害と考えているが、今回のTwitter騒動はこれが現実の問題になり得ることを示している。Twitterのバグは簡単に悪用でき、驚くほど急速に広まった。それが、悪意のあるハッカーではなく、少数のプログラミング愛好家によってなされたのだ。