他人のアカウントからツイート投稿も、Twitterが脆弱性を修正

[鈴木聖子，ITmedia]

　Twitterに他人のアカウントからツイートを投稿したり、ダイレクトメッセージを読んだりできてしまう脆弱性が見つかったとして、英国のセキュリティ研究者が11月6日のブログで報告した。Twitterは既にこの脆弱性を修正済みだという。

　英国のセキュリティ研究者ヘンリー・ホガード氏のブログによると、Twitterには、攻撃者がエンドユーザーに不正なリンクを閲覧させることによって、Webアプリケーション上で攻撃者の指定した処理を実行させる「クロスサイト・リクエスト・フォージェリ」（CSRF）の脆弱性が存在していたという。

　この脆弱性は、Twitterにモバイル端末を登録してSMSでアカウントを管理できる機能に存在していた。ホガード氏は脆弱性を突いたWebページを作成して、攻撃者の携帯端末とネットワークを被害者のアカウントに登録させる方法を実証。TwitterはCSRF攻撃を防ぐための認証トークンを用意していたが、この認証は任意の値を入力してかわすことが可能だったとしている。

　脆弱性を突いたWebページを被害者がクリックすると、攻撃者の携帯端末が登録されてSMS経由でアカウントが操作され、攻撃者がツイートを投稿したり、ダイレクトメッセージを読んだりできる状態になる。ホガード氏はブログでコンセプト実証コードも公開している。

　ホガード氏によると、Twitterは同氏から報告を受け、その日のうちにこの脆弱性を修正したという。