TweetDeckに深刻な脆弱性、すみやかにいったん連携取り消しを

2014年6月12日

Twitterは、公式アプリケーション「TweetDeck」を一時的にサービス停止しました。TweetDeckに深刻なクロスサイトスクリプティングの脆弱性が明らかとなり、大規模なハッキングが観測されたためです。

tweet

ThreatpostのMike Mimosoによると、WebページまたはWebベースのサービスに、訪問者のブラウザーで自動的に実行可能なコードを攻撃者が挿入できる状態であったとのこと。クロスサイトスクリプティング攻撃が成功すると、コードを遠隔から挿入され、データ損失やサービス妨害が引き起こされる可能性があります。

今回の事例では、攻撃者によるユーザーアカウントの乗っ取り、ツイートの投稿、ツイートの削除、アカウントの書き換えの危険性がありました。悪性コードは米国時間午前中にツイートされ、何万回にもわたってリツイートされました。

Rapid7のグローバルセキュリティストラテジストであるトレイ・フォード(Trey Ford)氏は、Treatpostに対して次のように語りました。「この脆弱性によって、ブラウザー内コードがツイートされるように仕向けられており、ツイートを表示させただけでクロスサイトスクリプティング(XXS)攻撃を成り立たせていた。現時点で我々の見るところ、悪意ある意図を持ったツイートを作成する形で自己複製する「ワーム」であるようだ。主に、Google ChromeのTweetDeckプラグインを使用している人に影響が出ているように見受けられる」

TweedDeckをご使用の場合は、Twitterにログインし、アプリ連携メニューにてTweetDeckの許可をいったん取り消してください。

以下の動画では、許可を取り消す方法を英語で紹介しています。※この動画ではTweetDeckがインストールされていない環境が使われているので、最後のところで許可を取り消す操作はTweetDeckではないアプリに対して行っています。実際にはTweetDeckを選んでください。

日本語インターフェイスでの操作は以下のとおりです。

1.Twitter画面右上の歯車アイコンをクリック

2.左側のメニューで[アプリ連携]を選択

3.TweetDeckの[許可を取り消す]ボタンをクリック