これは今朝世界中を席巻したTwitterバグにやられたブラウン元英首相夫人のTwitter公式サイト。巨大な英文字「h」が出て、日本のポルノサイトに自動リンクしてます...なんとまあ...。
ツイッター公式Webでリンクをマウスオーバーすると、フォロワーにスパムやポルノがリツイート(RT)されちゃう、この「マウスオーバーバグ」。いやあ、ひどかったひどかった。世界中にみるみる野火のように広まって一時はどうなることかと思いましたよ。
サードパーティーのアプリ使ってる人は大丈夫です(バグったRTもそっちで削除できます)が、twitter.com開いてこんな状態なっててビックリこいた人も多いんじゃ?
これはTwitterのサイトにあるクロス・サイト・スクリプティング(XSS)のバグ(脆弱性)を使って、onMouseOver機能をいじるJavaScriptを仕込むワーム(解説)。カラーテキスト(rainbow tweetsと呼ぶ)でユーザーを釣り、リンクをマウスオーバすると自動的にリツイートされる、という仕掛けです。
最初にrainbow tweetsをリリースしたのは日本の@kinugawamasatoさんで、XSS脆弱性を見つけ8月14日報告したんですが、対応が遅々としてなされなかったため、放っておくとどうなるか示す目的で出したそうです。
以下に、そこから先の伝播ルートを記しておきましょう。
(参考:英紙Guardian、Asiajin)
1. XSS脆弱性を使ってツイートを虹色に変えるハック法を紹介したアカウント(削除済み)が出たのは日本時間4:37p.m。本社のある米西海岸は深夜12:37a.m.で、誰も気付かなかったのかも。
2. スカンジナビアのデベロッパーMagnus Holmさんの目に止まる。氏はコードを拡張し、誰でもTwitter.comにサインインしてリンクをマウスオーバーすると、その人のアカウントを使ってそれが勝手に自己RTされるバグに改造。「まあ、このバグは広まらんじゃろ。ユーザーがツイート削除しちゃえば済む話だからね」とつぶやいてすぐ、「ホーリー○ット、バイラルで広まってる」、「恐ろしいことになってしまった」とつぶやいている。
3. 亜種が続々登場。ロシアのサイト、日本のハードコアポルノのサイトなど。リンクからポップアップ窓が開いたり(追:このJavascript出したのは豪州の17歳Pearce Delphin君@zzap。AFPは彼を「主犯」と報じてます)、ポルノサイトに誘導されちゃったり。米Gizmodo読者RawheaDさんが言うようにブラウザのウィンドウが丸々MouseOver領域になって、窓のどこにマウスを動かしてもリツイートされちゃうケースも出現。各メディアが公式Webを開かないよう、警告を出す。
米Gizmodo読者Mikeさん提供の実働シーン。ツールバーからTwitter.comのページ本体にカーソルを動かすと勝手にバグをRTし、ダイレクトメッセージ(DM)送ろうとするのが分かる
4. Twitter社がXSS脆弱性をパッチで修正対応したと発表(日本版)。公式ブログによると発生時刻は米西海岸の2am台、ツイッターに通報が行ったのが約30分後の2:54amで、7amには主な問題を解決、9:15amには小さな問題も解決した、という流れ。
以下のTogetterは、騒動をリアルタイムで経験した日本のみなさまの声です。
リアルタイムで見逃した日本のユーザーさんたちからは、解決後に以下のデモ動画を見て、「なに、こんなカッコ良かったのか! 見たかった!」という脆弱性アゲインの声もありますが...
...いやいや、こっちのカッコいいのが広まる前に解決されてしまったんでしょう。海外では一番上の「h」大書のバグとかマウスオーバーバグという認識ですよ。二度となしに願いたいものですね、はい。
[Sophos, The Guardian, Asiajin]
Kyle VanHemert(原文/satomi)
