Twitter 国民よ、静かにしてください。今週木曜日に Twitter を悩ませていたクリックジャッキング攻撃は修正されました。
Twitter ユーザーを表彰する初の公式授賞式 (Twitter を使わない懐疑的な人のために言っておくと、これは作り話ではありません。この授賞式は Shorty Awards と呼ばれ、MC Hammer も出席していました) から 24 時間も経たないうちに、誰かが一種のソーシャル ウイルスを発生させ、それがあっという間にネットワーク中に広まりました。
Twitterのクリックジャッキング:「クリックしないでください」
Twitterのクリックジャッキングバグは、実際には大きな脅威ではなく、むしろちょっとした迷惑だったようです。何が起こったかはこうです。誰かが「クリックしないでください」というメッセージと、隠されたURLを投稿します。あなたがそのリンクをクリックすると、同じメッセージが自動的にあなたのTwitterアカウントに投稿されます。そして、あなたの友人の誰かがそのメッセージを見て、興味を持ってクリックすることで、まるでバイラル拡散のような効果を生み出します。
「クリックするな」― 古き良き逆心理学の真骨頂。本当に効果があるんだね。(自分へのメモ:魅力的な女性に電話番号を渡し、「電話するな」と書いたメモを添えて渡そう。)
ツイートの裏にある真実
では、一体何が起こっていたのでしょうか? Sunlight Labsのクールな面々は、すべてiframeの問題だと言います。「この『ウイルス』は、ページのiframeを作成して非表示にし、Twitterにログインした状態でそのボタンをクリックすると、(実際には表示されていないにもかかわらず)そのメッセージを投稿するように仕向けます」と、Sunlight Labsのディレクター、クレイ・ジョンソン氏は自身のブログで説明しています。「JavaScriptは一切使用されていません」と彼は言います。
バグのコード全文は英語に翻訳されており、こちらでご覧いただけます。もちろん、実際にできることは読むことだけです。もう動作しません。
Twitterフィクサー
Twitterチームは数時間でこのバグを修正した。「『クリックしないでください』とリンクの組み合わせは『クリックジャッキング』のハッキングです」と、TwitterのCEO、エヴァン・ウィリアムズ氏は東部時間午後1時30分頃にツイートした。「クリックしないでください。現在修正中です」と彼のツイートには指示が記されていた。
数瞬のうちに、Twitter のハンドルネーム「Netik」でフォロワーによく知られているオペレーション エンジニアの John Adams 氏が、この欠陥が修正されたと発表した。
「『クリックしないでください』というクリックジャッキング攻撃は10分前に修正しました」と彼は指摘した。「問題は解消されているはずです。」
Twitter の公式ブログでは、さらに詳しい情報を提供しています。
「幸いなことに、被害はリンクの継続的な再投稿に限定されていましたが、Twitterユーザーに対する悪意のある攻撃を非常に深刻に受け止めており、今朝、このクリックジャッキング手法をブロックするアップデートを提出しました。」
ふぅ。少なくともハマーが無事だったと知って安心したよ。あの男は本物すぎてクリックできない。
(ごめんなさい。我慢できなかったんです。)
