Twitterに非常に危険な脆弱性! マウスカーソルを合わせるだけでJavaScript実行 | RBB TODAY

Twitterに非常に危険な脆弱性! マウスカーソルを合わせるだけでJavaScript実行

 21日夜より、Twitter上で“危険なツイート”が急速に蔓延している。Twitter公式サイトでTwitterを利用している場合、ツイートにマウスカーソルを合わせただけで、JavaScript等が自動実行されてしまうものだ。

エンタープライズ セキュリティ
外部クライアントソフトで確認したもの。明らかに不審なJavaScriptがツイート内に見えている
  • 外部クライアントソフトで確認したもの。明らかに不審なJavaScriptがツイート内に見えている
  • JavaScriptが発動した状態(有志動画より)
  • JavaScriptが発動した状態(有志動画より)
  • 一部のアカウントは一時停止されている模様
 21日夜より、Twitter上で“危険なツイート”が急速に蔓延している。Twitter公式サイトでTwitterを利用している場合、ツイートにマウスカーソルを合わせただけで、JavaScript等が自動実行されてしまうものだ。

 このツイートはTwitterのもつ「XSS脆弱性」を突いており、IDアカウントに特定文字列を含ませることで、ツイート内にHTMLタグが利用可能となり、さらにはCSSやJavaScriptまで利用可能となってしまうものだという。JavaScriptの「onmouseover」コマンドが仕込まれており、Twitter公式サイトにアクセスし、マウスを動かしただけでJavaScriptが発動する可能性が高い。外部JavaScriptファイルなどを組み合わせれば、マウスカーソルをツイートに重ねただけでウイルスプログラムを発動させることも可能と見られる。

 現在Twitterでは、この危険なツイートそのものを意図せずにリツイートするスクリプトが登場しており、企業や個人を問わず、急速に拡散を始めている状態となっている。このツイートを踏んでしまった場合、画面内に巨大文字で勝手にツイートしたり、画面の文字をアニメーションさせたりといった、たわいのないものもあり、すでに有志による検証動画がYouTubeで公開中だ。

 しかし、個人情報を抜き取ったり、フィッシングサイトに誘導するといったことも充分に可能であり、非常に危険な状態のため、セキュリティ各社などでは、Twitterからのログアウトと使用停止を呼びかけている。Twitter専用クライアントソフトなど、JavaScriptが自動実行されない利用環境であれば、今回のツイートは(とりあえず)危険はない模様。あるいはブラウザのJavaScript処理を無効にするといった対処も有効だろう。

 なお、Twitter側もXSSアタックについて認識し、パッチによる修復作業を行ったとのこと。ただし該当する脆弱性の詳細、そのほかのセキュリティホールの可能性などについては未公表のため不明となっている。
《冨岡晶》

関連ニュース

特集

page top