（Twitterブログより）onMouseOverインシデントに関するすべてのこと ( ラボブログ )

DAC/スパイスラボ神部です。

昨日おそらく日本発で起きてしまった、Twitterへの＜ゼロデイアタック＞。厳密には問題の再発に対する攻撃だったため、実際のそれとはことなるのだが、これに関してTwitterブログにエントリが上がっていた。せっかくなので勝手に翻訳をしてみる。翻訳の質としては下の下なので、そのあたりは割愛し、参考程度にしていただければと思います。

-Twitter Blog: All about the "onMouseOver" incident

（追記）とか言ってたら公式訳が出てたｗ　しまったー

-Twitterブログ: 「マウスオーバーの」問題についての全容

（勝手訳）「onMouseOverインシデントに関するすべてのこと」

まず、概要から。太平洋夏時間の午前2:54分、その30分ほど前からTwitterがセキュリティの脆弱性に晒されていることに関する通知を知らされた。我々はすぐに修正を行い、午前7:00までには主要な問題は解決した。そして、同じく太平洋夏時間の午前9:15分、マイナーな問題ではあったが hovercards に関する修正も完了した。

続いて詳細について、この太平洋夏時間の午前中に起こったセキュリティ脆弱性は、クロスサイトスクリプティング(XSS)に起因するものだった。クロスサイトスクリプティングは信頼できないウェブサイトから別のサイトへコードを埋め込もうとする試みであり、今回の場合はユーザがJavaScriptコードをプレーンテキストとしてツイートに挿入した。投稿されたツイートは、他のユーザのブラウザで実行が可能になっていた。

我々はこの問題を先月発見し、修正パッチをあてたが、最も最近のサイトアップデートの際に意図せずこの問題が再発してしまった（ただし、新しいTwitterのリリースとは無関係）。

そして早朝、ユーザがこのTwitter.com上のセキュリティホールに気づき、それを利用した。まず、何者かがアカウントを作成し、ツイートを異なる色に塗り分け、ツイート中のリンクに誰かがマウスポインタを乗せた際には、ポップアップダイアログにテキストが表示されるようになっていた。これが我々がこの問題を"onMouseOver"欠陥と呼んだ理由であり、実際リンクにマウスオーバーした際にこの欠陥は悪用された。

別のユーザはさらにこの手順を推し進めコードを追加し、人々が意図せずにオリジナルのツイートをリツイート刷るように仕向けました（※訳注１：この「リツイート」はTwitterの機能を介したいわゆるReTweetのことではないかもしれません。同じコメントを再投稿させることを指しているようにも思います）。

このぜい弱性はTwitter.comのみに影響を与え、モバイルサイトやモバイルアプリケーションには影響をおこぼしません（※訳注２：日本向けケータイサイトに影響があったという話があった気がしましたが、デマだったでしょうか？）今回の悪用の大半はいたずらか宣伝の類にカテゴライズされるもので、ユーザは今回の悪用によって挿入された奇妙なリツイートをまだ見ることになるかもしれない。しかし、これらよってコンピュータやアカウントに害をもたらすような問題はも感知していない。そして、今回の悪用においてユーザアカウント情報が信用できないものとなってはいないので、パスワードを変更する必要などはありません。

我々は目前に起きたこの問題を修正することを優先するだけではなく、今後起きそうな脆弱性にも目を向けました。この問題は既に解決されました。これらの問題に遭遇されたみなさまには、お詫び申し上げます。