連載
» 2014年07月10日 18時00分 UPDATE

セキュリティクラスター まとめのまとめ 2014年6月版:LINEの盗聴疑惑にセキュリティクラスターはどう反応したか (1/3)

XSSに盗聴疑惑にチート摘発――ネットでは今月も、印象に残るさまざまな騒動が起きました。

[山本洋介山(bogus.jp),@IT]
「セキュリティクラスター まとめのまとめ」のインデックス

連載目次

 2014年6月は、Twitterアプリに関連した脆弱性が見つかり、大きな話題となりました。連携アプリを認証することによって勝手にツイートされるということが話題になることはありますが、脆弱性が悪用されたリツイートでタイムラインが埋まることは久しぶりのことで、昔を思い出した人も多かったと思います。

 そして、メッセンジャーアプリの「LINE」でやりとりされたデータが第三者の手に渡っているのではないかということも話題となりました。この真偽とともに、暗号化されているためのぞき見できないということになっているメッセージデータがどのようにして盗聴されているのかということも議論の対象になりました。LINEは乗っ取りも頻発しており、サイトの乗っ取りと同様に話題となることが多かったです。

 そして月末には、「チート行為」でいよいよ逮捕者が出てしまいました。

TweetDeckに自動リツイートするXSS脆弱性発覚

 XSS脆弱性は、アラートがポップアップするだけのデモが行われることがほとんどで、大したことのない脆弱性だと思っている人も多いかもしれません。しかしTwitterにおいては過去にもXSSによる攻撃が行われ、大きな話題になったことがありました。Twitterではリツイートで大きく拡散するため、一度の攻撃ツイートが広範囲に広がり、大きな影響を及ぼします。

 そして6月10日には、使っている人も多いTwitterクライアント「TweetDeck」にXSS脆弱性が見つかり、それを悪用したツイートによって、画面にアラートがポップアップされるとともに強制的にリツイートが行われ、世界中で大きな話題となりました。

 これは攻撃コードが書かれたツイートを見た人がTweetDeckを使っていた場合、強制的にリツイートしてしまうというものでした。この攻撃は世界中に広がっていき、もちろん日本でもたくさんの人が、思ってもいないリツイートを行ってしまっていました。

 このXSS脆弱性は攻撃が見つかってからすぐに対応が行われ、いったんログアウトしてログインし直すことで、自分が攻撃ツイートを読み込んだとしてもリツイートすることはないようになりましたが、長い時間リツイートがTLを荒らすことになりました。

 このXSS脆弱性なのですが、絵文字を使ったツイートにXSSの攻撃コードを含めてツイートを行うと、なぜかXSSによる攻撃が行われてしまうという珍しいものでした。セキュリティクラスターではその内容に興味を持った人が多かったようでした。

 以前のmixiにおける「はまちちゃん事件」や、WassrというTwitterに似たサービスであった絵文字によるサービス停止などを思い出した人も多かったようでした。またLINEで行われている絵文字を使った攻撃に言及しているツイートもありました。

【関連リンク】

「マウスオーバーの」問題についての全容

https://blog.twitter.com/ja/2010/mausuobano-wen-ti-nituitenoquan-rong

Security&Trust ウォッチ(33)「ぼくはまちちゃん」――知られざるCSRF攻撃

http://www.atmarkit.co.jp/fsecurity/column/ueno/33.html


       1|2|3 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。