「マウスオーバーの」問題についての全容

投稿者 Twitter Japan
火曜日, 2010年9月21日

概要: 日本時間の9月21日午後6:54に Twitter におけるセキュリティ上の弱点に対する
悪用が30分前より発生していることを確認し、即座に問題の対応にあたりました。日本時間21日午後11時までに問題の主要因を解決し、22日午前1:15にホバーカードに関連した小規模な問題も解決が完了しました。

詳細: 昨日夜に発生したセキュリティ上の弱点を付く悪用は、クロスサイトスクリプティング (XSS) によって引き起こされる問題です。クロスサイトスクリプティングとは、危険のあるサイトから他のサイトにプログラムコードを配置する手法です。今回の場合、ユーザーが JavaScript コードを文字列としてツイートの中に設定した上でツイートを投稿し、他のユーザーのブラウザ上でその JavaScript コードを実行させようとするものでした。

先月、私たちはこの問題を発見し、パッチによって問題を修正しました。しかし、最近のアップグレードによってこの問題が再度、発生してしまいました (このアップグレードは、新しい Twitter とは関係ありません)。

日本時間の昨晩、ユーザーがこのセキュリティホールに気づき、Twitter.comにてそれを悪用しました。まず、誰かがアカウントを作成し、この問題を悪用しました。具体的には、そのツイートのリンクにユーザーがマウスオーバーすると、ツイートが異なる色に変化し、テキストを表示したポップアップ画面が表示される仕組みでした。このため、「マウスオーバーの」問題と呼ばれています。このセキュリティ上の弱点を付いた悪用は、ユーザーがリンクにマウスオーバーした時に発生しました。

他のユーザーは、もう一歩改良してユーザーが認識しないうちに勝手に元のツイートをリツイートするコードを追加しました。

この問題は、Twitter.com に影響を与えましたが、Twitter のモバイルサイト、または Twitter のモバイルアプリケーションには影響がありませんでした。この問題に関連する大部分の悪用行為は、いたずらとか宣伝行為の範疇になると考えています。タイムラインにおかしなリツイートを目にする機会がまだあるかもしれません。しかし、これに関連する問題でコンピューターやアカウントに対して危害を加えるようなことはありません。そして、パスワードを変更する必要もありません。なぜなら、この問題によってユーザーのアカウント情報を乗っ取られるようなことはなかったからです。

私たちは、この問題が発覚したとき、素早く問題を解決することだけではなく、脆弱性の可能性も特定することにも注意を払いました。この問題は、現在、解決済みです。この問題に直面したユーザーのみなさまには心よりお詫び申し上げます。