21日、Twitter上に現れた「謎のコード」（XSS脆弱性）とサラ・ブラウン（ら著名人）

要点：
今後またTwitterでJavaScript関連のことがあった場合に備えて覚えておくといいかも：
- 専用クライアントを持っていない人は、当座のしのぎとして、携帯用のウェブページが使える。 http://mobile.twitter.com
- ブラウザの設定でJavaScriptを無効にする。
- よくわかんなかったらとりあえず携帯用のウェブページを使って、「謎のコード」のツイートを削除して、安全宣言を待つ。
- いずれにせよ、専用クライアントは、常用するかどうかは別として使えるようにしておいたほうがいい。→参照：Twitterクライアントの比較・紹介記事

---

昨晩21日の夜（日本時間）、Twitterでの私のタイムラインが（私のタイムラインも）カオスになり、"Twitter got hacked" がトレンディング・トピックスに急に上がってきた。



問題は「XSS脆弱性」と呼ばれるもので、Twitterによる説明（日本語）は下記。

「マウスオーバーの」問題についての全容　2010年9月22日水曜日
http://blog.twitter.jp/2010/09/blog-post_22.html

また、「用語」がよくわからないことを前提とした非常にわかりやすい説明がm5s.jpさんにある。要約すると、「twitter.com の画面で、本当は動作しないはずのJavaSpriptが動作してしまうという不具合があることが利用され、誰かがいたずらを仕掛けた」ということだ。（記述が専門的過ぎても困るがもう少しそれっぽいのが読みたいという方にはTechCrunchの逐次レポートがいいかも。）

Twitterをクライアント（専用ソフト）で閲覧せず、ブラウザで閲覧していた人は、特に何もしなくても（何かをクリックしたり、マウスをあわせたりしなくても）、画面の表示がおかしくなると同時に「謎のコード」が自動的にtweetされるなどしたが、それ以上の害はなかったそうだ（例えばパスワードを盗まれるといったことは生じていない）。

現在は対応が完了していて問題はないが、一番ひどかったときには私のタイムラインはこのような状態になっていた。

※クライアントTweetdeckでのキャプチャを張り合わせたもの。クリックすると文字が読める大きさで表示されます。



上記キャプチャ画像でぼかしが入っているのは個人ユーザーの個人的なtweetだが、私のタイムラインの大半は英語のメディアのニュース記事のフィードやジャーナリストからの最新情報、音楽情報などで、それらはぼかしをいれずに残してある。AdebisiShank（アイルランドのバンド）は「うひょー、何これーー」と騒いでいるし、mjrobbins（ガーディアンの科学面担当）は問題がXSS脆弱性だということを把握した上でなんかはしゃいでいる。

「謎のコード」をtweetしているのは全員webからの利用で、個人ユーザーが何人かやられているが、それだけでなくXfm（英国のラジオ局）や英国の著名なジャーナリスト、フォロワー数の多い諷刺系アカウント、果てはPress Gazettteや、この画面にはないけどBBCのNewsnightのアカウントからも、ブラジルの有名作家のアカウントからもこの「謎のコード」が流れてきた。キャプチャ画像内にあるBanksyの絵のアバターで、bit.ly経由でニュースのヘッドラインをtweetしているmparentさんも、彼のアカウントからの「謎のコード」のtweetはなかったけど、このあと「何が起こってるんだ」とtweetしていたと思う。

英語圏では onmouseover security flaw と呼ばれていたこのバグ、キャプチャ画像でも"a.no" と "t.co" の2種類があることが確認できるが、複数の種類が同時に出ていたようだ。このキャプチャを取って1時間半くらいの間には騒動は終息していたが、その終息までの間に別の種類のも出ていた。こちらで@archerknewsmitさんが報告されているように、ブラウザでログインしようとするといきなり「Mさん」という英語圏のユーザーをRTするようになる。ちょうどそのときの私のタイムラインに、この「Mさん」の投稿した「謎のコード」をあるジャーナリストがRTして、その直後に別のジャーナリストが同じ「Mさん」の投稿した普通の文をRTしていることになっている（→キャプチャ画像）。（Tweetdeckの画面に見えた範囲では、この「Mさん」は別に普通のユーザーのように見えていたが、そうではなかったらしい。こちらの報告参照。この「Mさん」のアカウントは現在サスペンドされている。）

この騒動が始まったころ、私はTweetdeck（普通のタイムライン）とブラウザ（ハッシュタグ）を併用して見ていたのだが、ブラウザで見ていたハッシュタグのページからHomeをクリックしたときに、突然、超でっかい文字が表示され、「DMが送れませんでした」的なエラーメッセージが表示された。何だこれはと思って見たTweetdeckに、どなたかがRTしてくれていた @jp_twiさんの「……只今、XSSの脆弱性により、Twitter公式WebからTwitterを利用すると不本意のツイートやRTをされる可能性があります。Twitter.comを利用している方は、すぐにログアウトして下さい。……」という告知があった。それを見てログアウトしようとしたのだけど、ログアウト (sign out) のリンクをクリックしてもなかなかログアウトできない（大きな文字が邪魔）。で、自分のログを見ると、やはり「999999...」のほうの謎のコードがツイートされてしまっていたので、Tweetdeckのほうですぐに消して、ブラウザでJavaScriptを無効にして……ふう。

そのときのtweets:
nofrills 今、ブラウザでtwitter[dot]comをロードしたら変な画面になって（巨大なrが表示される）、「DMが送れませんでした」的なエラーメッセージが出てきました。もし私からのDM行ってたら無視してください。@jp_twiのtwを見つけたけどブラウザでのログアウトが受け付けられない　at 09/21 20:28

nofrills 特に何かを踏んでなくても変なCSSみたいなのがtweetされてるようです。私もそうなってました。ブラウザではハッシュタグの画面しか見てなかったのにhomeを表示させた瞬間に変な表示が。 RT @zu2: なんかCSSみたいなのをtweetしてる人って、XSS踏んじゃった人?　at 09/21 20:36

nofrills XSS脆弱性猛威。この1時間くらいでUKのユーザーに広がり、それもXfmやジャーナリストなどフォロワー数の多い人がやられ、それが個人ユーザーに拡大しつつある段階で、私のタイムラインがカオスｗｗｗ スティーヴン・フライをおちょくるアカウントもさっきついに…　at 09/21 22:32

nofrills @archerknewsmit ありがとうございます。私のタイムラインではBBCの報道番組のアカウントからも変なコードが吐き出されている始末です。私自身も、数時間前に、何も知らずブラウザでアクセスしたらひっかかってしまいました。　at 09/21 22:39

nofrills 1つ前のRTの内容：「パスワードが危険にさらされているということはないし、何もハッキングはされていません。単に、マウスオーバーの動作でRTを引き起こすというバグ（脆弱性）が突かれただけですよ」。　at 09/21 22:40

nofrills 「ブラウザでtwitterを使う場合は、JavaScriptを無効にしましょう」、との英語圏の技術筋複数tweetあり。　at 09/21 22:42

nofrills 10分ほど前に、@Twitter の @safety チームの @delbius さんから「XSS攻撃への対応が完了」との旨の安全宣言が出ました。 http://bit.ly/cWPHP1　at 09/21 23:04


なお、事の発端はどうやらこういうことらしい。
http://togetter.com/li/52475

つまり、あるユーザーさんが8月に日本からこの脆弱性をTwitter側に報告したが直っていなくて（Twitterの説明を見る限り、放置していたのではなく、実際に一度直したのが別の更新で修正前に戻ってしまったようだが）、注意喚起をする意味で画面表示がとてもきれいになるJavaScriptを入れたtweetをした。

それでその「穴」の存在が広まって、別の人たち（「Mさん」とか）がその脆弱性をついていろいろとやりはじめた。

これがどんどん広がって昨晩（日本時間）のカオスとなった。

「謎のコード」は、英国ではサラ・ブラウン（ゴードン・ブラウン前首相の夫人で、非常に「素敵な奥さん」な感じのtweetが人気でフォロワー数が多い）が被害にあったということで話題になっている（TechCrunchもサラ・ブラウンの画面のキャプチャを使っているが）。
http://www.bbc.co.uk/news/technology-11382469

ガーディアンの記事のコメント欄はけっこうお役立ちかも。
http://www.guardian.co.uk/technology/blog/2010/sep/21/twitter-bug-malicious-exploit-xss

今後またTwitterでJavaScript関連のことがあった場合に備えて覚えておくといいかも：
- 専用クライアントを持っていない人は、当座のしのぎとして、携帯用のウェブページが使える。 http://mobile.twitter.com
- ブラウザの設定でJavaScriptを無効にする。
- よくわかんなかったらとりあえず携帯用のウェブページを使って、「謎のコード」のツイートを削除して、安全宣言を待つ。
- いずれにせよ、専用クライアントは、常用するかどうかは別として使えるようにしておいたほうがいい。→参照：Twitterクライアントの比較・紹介記事

「今後また」というのは、BBCにあるように：
http://www.bbc.co.uk/news/technology-11382469

Graham Cluley, a researcher at security firm Sophos, told BBC News that Twitter needs "much tighter control" over what users can put in a tweet to prevent similar problems in the future.

He also warned users to continue to be on their guard, as once an exploit had been found there would be a raft of hackers looking for new ones or ways to circumvent the patch.

"We've seen it in the past," he said. "When Twitter says they have fixed a flaw, we see a new exploit again and again."

ネット・セキュリティの会社であるSohosの研究員はBBCの取材に対し、Twitterは今後またこういう問題が生じないように、ユーザーが書き込めるものを「ずっと強力にコントロール」しなければならない、と語る。彼はまたユーザーに対し、注意を怠らないようにと警告する。いちど脆弱性が発見されると、修正パッチを回避するような策を講じ、標的として狙うハッカー（原文ママ）は後を断たないものだからだ。「かつてもあったことですが、Twitterがバグは修正したと言っても、あとから次から次へと脆弱性攻撃があるんです」

---

そもそもの「発端」と思われる「レインボー」はこういうことになるものだったらしい。

※この記事は

2010年09月22日

にアップロードしました。
1年も経ったころには、書いた本人の記憶から消えているかもしれません。