TweetDeckに深刻な脆弱性、すみやかにいったん連携取り消しを

広く使われているTwitterアプリケーション「TweetDeck」に、クロスサイトスクリプティングの脆弱性が発見されました。TweetDeckユーザーは、すみやかにいったん連携を取り消してください。

tweet

Twitterは、公式アプリケーション「TweetDeck」を一時的にサービス停止しました。TweetDeckに深刻なクロスサイトスクリプティングの脆弱性が明らかとなり、大規模なハッキングが観測されたためです。

ThreatpostのMike Mimosoによると、WebページまたはWebベースのサービスに、訪問者のブラウザーで自動的に実行可能なコードを攻撃者が挿入できる状態であったとのこと。クロスサイトスクリプティング攻撃が成功すると、コードを遠隔から挿入され、データ損失やサービス妨害が引き起こされる可能性があります。

今回の事例では、攻撃者によるユーザーアカウントの乗っ取り、ツイートの投稿、ツイートの削除、アカウントの書き換えの危険性がありました。悪性コードは米国時間午前中にツイートされ、何万回にもわたってリツイートされました。

Rapid7のグローバルセキュリティストラテジストであるトレイ・フォード(Trey Ford)氏は、Treatpostに対して次のように語りました。「この脆弱性によって、ブラウザー内コードがツイートされるように仕向けられており、ツイートを表示させただけでクロスサイトスクリプティング(XXS)攻撃を成り立たせていた。現時点で我々の見るところ、悪意ある意図を持ったツイートを作成する形で自己複製する「ワーム」であるようだ。主に、Google ChromeのTweetDeckプラグインを使用している人に影響が出ているように見受けられる」

TweedDeckをご使用の場合は、Twitterにログインし、アプリ連携メニューにてTweetDeckの許可をいったん取り消してください。

以下の動画では、許可を取り消す方法を英語で紹介しています。※この動画ではTweetDeckがインストールされていない環境が使われているので、最後のところで許可を取り消す操作はTweetDeckではないアプリに対して行っています。実際にはTweetDeckを選んでください。

日本語インターフェイスでの操作は以下のとおりです。

1.Twitter画面右上の歯車アイコンをクリック

2.左側のメニューで[アプリ連携]を選択

3.TweetDeckの[許可を取り消す]ボタンをクリック

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?