Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

ツイートに対する XSS 攻撃

Created: 19 Oct 2010 11:14:47 GMT • Translations available: English
Candid Wueest's picture
0 0 Votes
Login to vote

9 月 21 日の火曜日、Twitter に存在するクロスサイトスクリプティング(XSS)の脆弱性が一躍有名になり、攻撃者に悪用されただけでなく、悪意はなくても好奇心から便乗する多くの模倣犯が出現しました。ツイートに含まれるリンクの属性解析に問題があったため、ユーザーがリンク上にカーソルを置いただけで JavaScript コードが実行されることを許してしまったのです。Twitter によれば、この脆弱性は 1 カ月前にすでにパッチ修正されていたのですが、最近のコード変更に伴って再発生していました。一部のユーザーが、何色にもカラー表示されるテキストボックスや無害なポップアップボックスなどをツイートに追加し、この脆弱性を新しい機能として誤って使い始めたのです。

この脆弱性が悪質な目的にも利用されたことは驚くにあたりません。疑わしいリンクに対してクリックすらしなかったのですから、感染したからといってユーザーを責めるわけにはいきません。埋め込まれていた JavaScript コードは "onMouseOver" イベントをトリガとして使っていたため、特別に細工されたリンクにマウスカーソルを重ねるだけで、このコードは実行されました。この種のクロスサイトスクリプティング攻撃のきわめて深刻な問題のひとつは、この点にあります。そのため、ユーザーが簡単に対応できる的確な予防策をアドバイスするのが難しいのです。コンピュータに詳しいユーザーであれば、クリックする前にリンクの上にカーソルを置いてドメインを調べようとしますが、このケースでは、その操作がユーザーを危険にさらします。10 年前は、「知らない相手から送られてきた電子メールの添付ファイルを開いてはいけない」とアドバイスするのが一般的でした。今となっては、「どんな Web サイトにもアクセスしてはいけない」と忠告するしかありませんが、これは現実的ではありません。「NoScript」などのアドオンを使っても、この種の攻撃に対する防御は万全とは言えません。元のドメイン自体によってスクリプトがリダイレクトされるというのが、クロスサイトスクリプティング攻撃の大きな特徴のひとつだからです。

ほどなくして、攻撃者は勢いをつけ始めました。このスクリプトを使って、あるユーザーのアカウントでツイートを自動的に再投稿し、それをアカウントからアカウントへと次々に拡散させる攻撃者もいれば、「リックロール」など、関係のないサイトに、何も知らないユーザーをリダイレクトする攻撃者も現れました。ほぼ同じ頃に、リモートコードを取り込んだワームも何種類か登場しはじめました。あるクロスサイトスクリプティングワームの作者は、のちに、このワームに感染したユーザーから少なくとも 20 万件のツイートがあったと語っています。もちろん、悪質なサイトあるいは偽装のアンケートページにユーザーをリダイレクトする、もっと悪質な考えのユーザーもいましたが、確認されている攻撃のほとんどは破壊的ではなく、個人情報が盗み出されることもなかったと言えます。しかし、それでもこの攻撃の出現はきわめて深刻です。もっとも、この手の攻撃の出現は初めてというわけではありません。たとえば昨年には、Mikeyy ワームなど何種類かの Twitter ワームが出現し、ソーシャルネットワークに広がりました。

この種の攻撃は、もちろん Twitter だけに限ったものではありません。XSS の脆弱性は我々が思っているほど珍しいものではないので、同様の問題は他のソーシャルネットワークでも起こる可能性があります。XSS を報告している Web サイトのアーカイブには、主要なソーシャルネットワークごとに数件のエントリがリストされています。

ソーシャルネットワークに対する XSS 攻撃は実際に発生しています。ユーザーを悪質な Web サイトにリダイレクトし、ユーザーアカウントから個人情報を引き出そうとしている以上、単なる迷惑行為ではありません。こうした攻撃から身を守るための第一歩は、まずその存在を認識することです。ソーシャルネットワーキングのリスクについて詳しくは、最も一般的な脅威について解説しているシマンテックのホワイトペーパーをご覧ください。