2010 年 9 月 21 日現在のツイッターのバグ(脆弱性)について

【お知らせ】 9 月 21 日午後 11 時頃、公式サイドから脆弱性が修正されたとの発表がありました。

@twj のツイート

はじめに

2010 年 9 月 21 日、ツイッターで深刻な脆弱性(ぜいじゃくせい)が発見され、被害が広がっています。これが何なのか、簡単に説明します。

JavaScript とマウスオーバーイベント

まず、下のピンク色の枠内にマウスカーソルをすべらせてみてください。

この枠の中をマウスカーソルで触って!

どうでしたか。「触ってくれてありがとう!」というメッセージが表示されましたね。

このように、ウェブページには簡単なプログラムを仕込むことができます。どのウェブブラウザー(皆さんがウェブを見る時に使うソフトウェア。インターネットエクスプローラーなど)でも共通で使える「JavaScript (ジャバスクリプト)」という言語が一般的に使われています。

今回は、ページ上のある部分にマウスカーソルが乗った時にメッセージが表示されるようにしました。これを「マウスオーバーイベント」と言います。

今回のツイッターの脆弱性

この JavaScript、一般の掲示板やツイッター、ブログなどに仕組めるでしょうか。結論から言うと、できません──と言うか、できないように作るのが普通です。いたずらに利用されかねないからです。

ツイッターでも、今までは JavaScript を含んだツイートはできないようになっていましたが、今日(だと思います)、ツイッターのバグ(不具合)を利用して JavaScript を仕込む方法が発見されたようです。公表されました(詳細)。

マウスカーソルが乗る(マウスカーソルで触る)たびにメッセージボックスが出るくらいならまだかわいいものですが、JavaScript ではもっと複雑なこともできます。ツイッターで勝手にツイートさせることも可能です。また、マウスカーソルが乗らなくても、悪意のある JavaScript を含んだツイートを表示させただけでも何か悪さをさせることもできます。

現在、ツイッターの開発チームでは、このバグを修正している最中だと思われます。バグ修正の報告が公式にアナウンスされるまでは、以下のことに気をつけましょう。

補足すると、IT の世界では、このようなセキュリティ関連のバグを「脆弱性」と呼びます。よく出てくる言葉なので、読み方と一緒に覚えておいてくださいね。

おまけ: XSS ってなあに?

今回の脆弱性に関して「XSS」という言葉をよく目にしますが、これは何でしょうか。

JavaScript を書けてはいけないはずの場所に JavaScript を仕込めてしまう脆弱性のことを、セキュリティの用語で「クロスサイトスクリプティング脆弱性」と呼びます。あまりに長いので、「XSS 脆弱性」と表記するのが一般的です。

今回は、「ツイッターで JavaScript が仕込める(というかなりマズい)脆弱性が発見された」ということが分かればいいと思います。なお、今回の件はウィルスではありません。

2010.9.21(火) by @suno88