ニュース
» 2007年04月25日 17時52分 UPDATE

人気のTwitterにセキュリティ問題、研究者が指摘

Twitterの脆弱性を利用したなりすましの手法も既に公開されている。

[ITmedia]

 米IM企業FaceTime Communicationsのセキュリティ研究者が、急速に人気を集めているソーシャルネットワーキングサービス(SNS)「Twitter」のセキュリティについて警告を発した。

 TwitterはSMS(携帯メール)やIM、電子メールなどで140文字以内の短い文章を送信することで更新できる。自分が「今何をしているのか」を手軽に友人と共有できることで人気を博している。

 送信した文章はユーザーのプロファイルページに掲載され、またあらかじめ登録したほかのユーザーにもTwitterのサイト、SMS、RSSなどを介して送られる。

ah_twitter.jpg 「今何をしているか」を記した短い文章が並ぶプロファイルページ

 FaceTimeの研究者ウェイン・ポーター氏は、Twitterはクールだとしつつも、同サービスのセキュリティ上の問題を指摘している。

 同氏はまず、認証が不十分な点を挙げている。他人の名前をかたることが容易であり、実際に偽の有名人がたくさんいるという。

 またTwitterに投稿する文章は140文字以内であるため、長いURLはリダイレクトサービスやURL短縮サービスを使って短縮される。これ自体は悪いことではないが、送られてきたURLを見ただけではどこに飛ばされるのか分からないため、攻撃者がこれを悪用してJavaScriptを埋め込んだり、不正なサイトにリンクする可能性があると同氏は説明している。「Twitter経由のフィッシング『Twishing』が登場することはたやすく予想できる」同氏は言う。

 さらに同氏は、Twitterの脆弱性を利用したなりすましの手法を紹介している。この手法は今月初めにOreilly.netに掲載されたもので、他人のTwitterアカウントを利用して投稿できるというもの。Twitterは発信者番号でユーザーを認証しているため、ほかのTwitterユーザーの携帯電話番号を知っていれば、発信者番号を偽装するサービスを使ってそのユーザーのアカウントを利用することができるという。

 同氏はこの指摘に同意し、SMSは電子メールの「送信者欄」と同様に、認証に利用できるようには作られていないと述べている。

 同氏は、Webサーフィンと同様に100%安全だとは思わないようにと注意を促しつつも、この種の技術が成熟し、もっと安全になったら、企業は同様のメカニズムを採用するだろうし、「ダークブログ(一般からは見えない社内ブログ)」に代わるものになるかもしれないとの期待も見せている。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -