スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

twitterでの不具合/XSS悪用「マウスオーバー問題」

昨日、twitterに不具合が発生しました。

23時には新しいパッチが導入されたので
今はほぼ大丈夫です。

ちょっとしたパニックになった時間帯もありましたが
終息していると言って良いと思います。

問題は公式サイトからログインすると
誤作動が起きる
というものでした。


もうないとは思いますが、ヘンな動きだと思ったら

ログアウトすれば良いだけです。


自分が操作していないツイートやリツイートを始めたり、
クリックしていないサイトへジャンプすることもありますが、
ウィルスには感染しません。

安心して下さいね。


具体的には

・つぶやきが勝手に投稿される

・プロフィールのWebが改ざんされる

・改ざんされたユーザーのページを見ると、
 自分のプロフィールも書きかえられてしまう


これらの被害に遭います。

クライアントソフト、サードパーティーなどと呼ばれるソフトが
無料でいくつかあるので、これを機会に導入するのも良い

かもしれません。
(これらはほぼ被害を受けませんでした。*携帯除く)


全部、当てはまる上に
本格的にヤバそうという方は
以下の方法を試してみて下さい。


・「設定」の「アカウント情報」を開きます。

・「Web」のURLが変更されていないか確認します。

・知らない文字列になっていたら削除します。
 (自分が最初に書いていたURLに置き換えて大丈夫です)

その後、パスワードの変更を行って下さい。
 (*現在、オフィシャルは必要ないと言っています)

終わり次第ログアウト、再度ログインします。
(Cookieの削除も行える方は行った方が確実です)



twitter自体がしっかりしたシステムではありませんので
しばらくは油断が出来ませんが、
概ね、安全に楽しめると思います。

ただ、妙な文字列をつぶやいている方のページには
行かない方が無難です。(感染する可能性も)



22日、午前4時過ぎにオフィシャルから
「マウスオーバー問題」としてリリースが出ましたので
こちらも合わせてどうぞ。


↓Twitterブログ
「マウスオーバーの」問題についての全容

時系列ごとに起きた事や対応が書かれていてわかりやすいです。




以下は興味のある方だけお読み下さい^^

ちょっとだけむつかしー事が書いてあります




他のサイトに飛ばされる以上は2次感染の恐れはあります。

個人情報が流出したという報告もありますが、
2次感染したか、
元々、プロフィールに個人情報が書いてあったのでしょう。

XSSの脆弱性が指摘されています。

要するにスクリプトを無理やり書き換えた人がいるわけです。

情報をまとめると、
強制ジャンプの多くはマウスオーバーによるものが多いようです。


手段は稚拙なもので、
プロフィールのURL欄に外部JavaScriptを埋め込むというもの。



公式サイトで新パッチが導入されると、
次の段階に移行するかもしれません。

若いだけの愉快犯ならそんなことはないでしょうが、(噂アリ)
タチの悪い奴なら安心させておいてトドメを刺してきます。


*無駄に不安を煽る意図はございません。
 カウンター・インテリジェンスの観点からです。



お友達が(おっそろしく使いにくい)公式webからツイート
しているようならクライアントソフトの導入を
手伝ってあげた方が良いと思います。



私はよくブログでtwitterでのことを話題に出していますし、
記事の最後でフォロワーさんを募集しています。

それをきっかけにアカウントを取得して、初ログインが昨日なら、
理解不能な事態に陥る可能性が十分にありました



システムが脆弱なことなど、テストページがどうの
以前から指摘されていた云々・・・コトが済んでから
偉そうにツイートしている人もいましたが、
そんなもんはしょっちゅうクジラってんだから
誰でも分かってますwww


(*よくキャパオーバーの表示が出るのです)


タイムラインにオフィシャルへのアタックの噂が流れ始めた頃、
私は問題追及もせずに自分の対策だけを始めました。


OSをいつでも載せ換えられる、大事なデータが入っていない
PCを遠隔操作にし、さらにクライアントソフトのみで
ログインして公式webには触れないようにしたのです。

もちろん、困ったことにはなりませんでした。


最初はウィルス感染の噂でした。

やがて、よくリプライを返して下さるフォロワーさんが
2人ほど怖がっている
のを見つけました。

ほとんどの人は安全性が確保されている状態で
楽しんでいる
わけですから、対処方法を持っていなければ
パニックを起こします。

やがて、公式webを使っている方々に混乱が広がっていきます。


twitterは良くも悪くも
すべてがリアルタイムに進行します。



対処方法はすぐにリツイートされて、これもあっという間に
広まっていきました。

しかし、ログイン時間には個人差がありますし、
何より公式webしか利用しない人もたくさんいます。

「twitterって楽しいね」から「やっぱりネットって怖い」に。

笑顔が消える瞬間を次々に見た気がしました。



恥じました・・・。

瞬間的に血圧が上昇したところで、間抜けな自己中野郎は自分です。

自分の安全しか考えていなかったわけですから。

詳しく書けませんが、自分の仕事信条にも反します。
(同僚はしばらく私が怖い顔をしていたと言っていましたが、
 そうやって無駄に力むことでしか反省できない自分を嫌悪していますorz)


せめて私のフォロワーさんに届くように
対処法やオフィシャル側の進行状況をツイートしたり、
パニックを収めようとしている方々の情報をリツイートし始めました。

使用頻度が高く、メアドを知っている人にはメールで連絡しました。

はっきり言ってしまえば、
大した被害は出ていないと思います。

少し混乱しても、極端な話、メインスイッチを落としてしまえば
解決したと思います。


それでも、困ってる人は「今、困っている」わけで
出来ることはしたいと考えました。

より効果的なのは、症状が大したことはないんですから、
「安心していいよ」という情報、
「ログアウトするだけだよ」という情報が

広範囲に伝われば良いだけです。

フォロワー数がモノを言います。

私では1000人ほどにしか知っていただけません。

公認アカウントの方々、オススメアカウントの方々は
数万~数十万のフォロワーさんがいる有名人
が多くいらっしゃいます。

思い切って呼びかけました。

「有名人が情報発信してくれれば安心も広がる。
 公認アカの人達、これを見てるか?」


言い方は悪いですが、「カネや評価に繋がるつぶやきしかしないのかよ!」
って内容も付け加えました。

もちろん、有名な方ほど忙しいと思いますし、
おそろしい勢いでタイムラインが流れると思うので
目には止まらないでしょう。


MentionでもDMでも大した差はなさそうです。


数分後、偶然か、ご本人も気かけていらっしゃったのか、
twitterの普及に尽力していらっしゃる
勝間和代さんが「新パッチ導入で問題終息」を
つぶやいてくれました。

そのリツイートをその後、何度か見ました。

やはり影響力そのものが違います^^

日付が変わる頃にはオフィシャルが名付けた
「マウスオーバー問題」はほとんど話題に上ることもなく
タイムラインで見なくなっていきました。


これが1ユーザーサイドから見た不具合の状況です。

結果として何も出来ませんでしたが、



反省を込めて記録として書きました。



今は次の段階がないことを祈っています。

多くの人と繋がりが持てるツールは
危険もシェアすることになります。


これもイベントと割り切って楽しめたら良いのですが、
被害に遭った方はとても驚いたと思います。

どうか懲りずに、安全に楽しまれることをお祈り致します。



スポンサーサイト

トラックバック


この記事にトラックバックする(FC2ブログユーザー)

コメントの投稿

Private :

Profile

嵯峨

Author:嵯峨
 
  FXトレードをしている
  サラリーマンです。

  2009年10月に株からFXへ
  転向しました。
  5万円から始め、現在、
  25年間で2億円を貯める
  計画に移行しました。
  
  株よりも動きがピーキーで
  奥が深いFXに
  ハマっています。

  主にクロス円とEUR/USDで
  取引していますが、
  相場観は市場全体を
  見たものです。

  趣味はドライブ、
  サイドビジネスで
  セキュリティ関係と
  ゲームの脚本演出に
  携わらせていただいて
  います。

  *当ブログは
   リンクフリーです。

 
STARBUCKS
DigitalClock
Serch Eng

> tags

blogram
Count of Visitors
Link
Latest diary
Comments
Track back
Archive
Category
All Title

全ての記事を表示する

e-Mail

名前:
メール:
件名:
本文:

Display of RSS link
ブロとも申請フォーム

この人とブロともになる

QR - code
QR
アクセスランキング
[ジャンルランキング]
株式・投資・マネー
3950位
アクセスランキングを見る>>

[サブジャンルランキング]
FX
1371位
アクセスランキングを見る>>
Blog Ranking
世界時計 FXFX 比較
For Traders
FXFX ブログ
 
FXCM口座開設fx
ピボット計算機
前日高値⇒
前日安値⇒
前日終値⇒








bymt4pentagon
Follow me !
展覧会情報
FruitMail
OUTLET Sale
みんなのおすすめ
 
このページのトップへ
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。