【お知らせ】 9 月 21 日午後 11 時頃、公式サイドから脆弱性が修正されたとの発表がありました。
2010 年 9 月 21 日、ツイッターで深刻な脆弱性(ぜいじゃくせい)が発見され、被害が広がっています。これが何なのか、簡単に説明します。
まず、下のピンク色の枠内にマウスカーソルをすべらせてみてください。
この枠の中をマウスカーソルで触って!
どうでしたか。「触ってくれてありがとう!」というメッセージが表示されましたね。
このように、ウェブページには簡単なプログラムを仕込むことができます。どのウェブブラウザー(皆さんがウェブを見る時に使うソフトウェア。インターネットエクスプローラーなど)でも共通で使える「JavaScript (ジャバスクリプト)」という言語が一般的に使われています。
今回は、ページ上のある部分にマウスカーソルが乗った時にメッセージが表示されるようにしました。これを「マウスオーバーイベント」と言います。
この JavaScript、一般の掲示板やツイッター、ブログなどに仕組めるでしょうか。結論から言うと、できません──と言うか、できないように作るのが普通です。いたずらに利用されかねないからです。
ツイッターでも、今までは JavaScript を含んだツイートはできないようになっていましたが、今日(だと思います)、ツイッターのバグ(不具合)を利用して JavaScript を仕込む方法が発見されたようです。公表されました(詳細)。
マウスカーソルが乗る(マウスカーソルで触る)たびにメッセージボックスが出るくらいならまだかわいいものですが、JavaScript ではもっと複雑なこともできます。ツイッターで勝手にツイートさせることも可能です。また、マウスカーソルが乗らなくても、悪意のある JavaScript を含んだツイートを表示させただけでも何か悪さをさせることもできます。
現在、ツイッターの開発チームでは、このバグを修正している最中だと思われます。バグ修正の報告が公式にアナウンスされるまでは、以下のことに気をつけましょう。
補足すると、IT の世界では、このようなセキュリティ関連のバグを「脆弱性」と呼びます。よく出てくる言葉なので、読み方と一緒に覚えておいてくださいね。
今回の脆弱性に関して「XSS」という言葉をよく目にしますが、これは何でしょうか。
JavaScript を書けてはいけないはずの場所に JavaScript を仕込めてしまう脆弱性のことを、セキュリティの用語で「クロスサイトスクリプティング脆弱性」と呼びます。あまりに長いので、「XSS 脆弱性」と表記するのが一般的です。
今回は、「ツイッターで JavaScript が仕込める(というかなりマズい)脆弱性が発見された」ということが分かればいいと思います。なお、今回の件はウィルスではありません。
2010.9.21(火) by @suno88