TwitterのXSS騒動

Twitterで夕方頃からXSSに対するエクスプロイトによって、勝手にメッセージがポストされたり、RTされたり、画面がおかしくなったりする症状でるという症状が広範囲に発生してちょっとした騒動になっていました。

Twitterの脆弱性突くコードが拡散　Webブラウザでのアクセス自粛呼び掛け - ITmedia News

Kaspersky Labのブログによると、Twitterに存在するクロスサイトスクリプティング（XSS）の脆弱性が原因。ツイートにスクリプトを埋め込んだり、外部サイトからスクリプトを呼び出すなどしてユーザーに実行させることが可能になっている。ユーザーにツイートを連鎖させるコードも出回っており、急速に広がっているもようだ。

　コードによっては、ログイン状態でWebブラウザからTwitterにアクセスしてコードを表示させただけで自動的に実行されてしまうものもあるため、（1）ログアウトする、（2）WebブラウザのJavaScriptを無効にする、（3）WebブラウザでTwitter公式ホーム画面にアクセスしない（安全が確認されているTwitterクライアントソフトを使う）──といった対策が必要。Twitterが公式に脆弱性を修正したとアナウンスするまでは要警戒だ。

とりあえず、JavaScriptの実行が出来ないTwitterクライアントには影響はなかったようです。Twitterの公式なアナウンスは「Twitter Status - XSS attack identified and patched.」にあり、現在は修正済みであるとアナウンスされています。TLを眺めていて思ったのは、XSSがウィルスのように扱われていたり、結果的にどのような危害をもたらすか（その可能性の部分を含めて）について正しい知識を持った人が意外と少なくて、それがパニックを少し冗長したような感じがしました。今回は幸運にも修正までの時間が短かったので、混乱は短時間おさまったのが不幸中の幸いでしたが、そのあたりのリテラシーの向上も課題ですね。もちろん脆弱性がないのが一番なんですけど。