Twitterで広がるJavaScriptの「onMouseOver」を使った攻撃

　世界のセキュリティ関連ブログで最近公開された記事のうち、ちょっと気になる話題を取り上げる。

　まずは米Twitterのクロスサイトスクリプティング（XSS）問題。米ウェブセンスが、その内容を「Twitter、JavaScriptの『onMouseOver』を使った攻撃が広まる」（Twitter OnMouseOver Flaw In The Wild）として、同社ブログで解説している。

　それによると、twitter.comは2010年9月21日（米国時間）、XSS関連のセキュリティホールを悪用された。同サイトにアクセスして、細工された入りツィートにマウスポインターを重ねると、勝手にポップアップメッセージが表示されてしまうのだという。

　このツィートにはイベントハンドラー「onMouseOver」を使ったJavaScriptコードが記述されていて、ユーザーがクリックしなくても何らかの動作を実行するようになっていた。問題のツィートは同日午前の時点で相当広まっており、悪質な外部サイトへユーザーを誘導することに悪用される可能性もあった。twitter.comでは1秒間に数百個もの攻撃ツィートが投稿される事態に陥った。ツィッターはその後、攻撃対象となったXSSの問題を修正し、悪用できない状態にしたと発表した。

人気SNSの「Orkut」もXSS攻撃の標的に

　上記のTwitterと同様に、米グーグル傘下でブラジルの人気SNS「Orkut」にも、XSS関連のセキュリティホールが存在し、新たな攻撃にさらされた。ロシアのカスペルスキーラボのブログ「人気SNSの「Orkut」もXSS攻撃の標的に」（Another live XSS vulnerability）によると、問題が明らかになってから12時間もたたないうちに、18万人以上のユーザーが影響を受け、それ以上のユーザープロファイルが被害に遭った。感染は、こうしたプロファイルにアクセスしただけで起こる。

　感染したユーザーは、Orkut外部のJavaScriptファイルを実行され、勝手にOrkut内の「Infected by the Virus of Orkut」（Orkutのウイルスに感染）というコミュニティに参加させられてしまう。同コミュニティには、以下のような案内文が掲載されている。「当コミュニティに参加したのは、Orkutに存在する深刻なセキュリティホールのせいです。グーグルには報告済みですので、間もなく対策されるでしょう。迅速に修正させることが、当コミュニティの唯一の目的です」

　なお2007年12月にも同じようなことが起こり、そのときはわずか数時間で66万人以上のOrkutユーザーが感染した。

　今回は結局、グーグルが修正を終えるまでに40万人以上のユーザーが影響を受けたという。

米グーグルがGoogle Appsの認証機能を強化

　米グーグルは「Google Apps」用アカウントに2段階の認証手順をオプションで使えるようにした。同社のセキュリティ関連ブログの記事「パスワード依存のセキュリティに対する強化策」（Moving security beyond passwords）紹介している。

　メールサービスやオンラインバンク、SNS（ソーシャルネットワーキングサービス）などを利用する場合、アクセスしたWebサイトでユーザー名とパスワードを入力することが一般的だ。パスワードは強力な権限を守っているので、悪人に漏れるようなことがあってはならない。ところがパスワードをいくつも記憶しておくのは簡単でなく、同じものが複数のWebサイトで流用される。その結果、セキュリティにおける最大の弱点となることが多い。

　こうした問題に対応するため、グーグルは2段階のオプション認証手順を用意した。このオプションを有効にすると、ユーザーの携帯電話機に認証コードが届く。ユーザーは、自分のAndroid端末やBlackBerry、iPhone上のアプリケーションで認証コードを作ることもできる。

　パスワードに加えてこの認証コードを入力することで、認証対象の人物が本人であることを高確率で保証できるようになる。ユーザーの知っているユーザー名とパスワードという情報だけでなく、携帯電話機という所有物も認証手段として利用するので、ユーザーアカウントのセキュリティ強化につながる。パスワードが漏れたとしても、それだけでアカウントが不正利用されることはない。

　現在この追加セキュリティは一部ユーザーに試験提供しており、全ユーザーが利用できるようになるのは数カ月後だ。