
「核弾級」の脆弱性がTwitterを直撃、ハッカーがあなたのアカウントを乗っ取れる?
TechFlow厳選深潮セレクト

「核弾級」の脆弱性がTwitterを直撃、ハッカーがあなたのアカウントを乗っ取れる?
どうやって防げばよいでしょうか?Twitterで非常に長いリンクを見かけた場合は、絶対にクリックしないでください。万が一被害に遭ってしまった場合でも、すぐにパスワードを変更すれば問題ありません。
執筆:shingle、Frank,Foresight News
最新情報:Paradigm のリサーチャー samczsun が再びツイートし、Twitter の脆弱性はすでに修正されたと述べた。技術的な要約によると、Twitter サブドメインにおける反射型XSSおよびCORS/CSPバイパスにより、ローカルで認証済みのユーザーとしてTwitter APIに対して任意のリクエストを行うことが可能になっていた。
以下は原文:本日午前、カリフォルニア大学バークレー校の博士課程学生 Chaofan Shou がツイートで、未修正のTwitter脆弱性を発見したことを明らかにした。その後、Paradigm のリサーチャー samczsun が Chaofan Shou の指摘を引用し、ハッカーが用意したリンクをユーザーがクリックすると、そのユーザーのTwitterアカウントへ完全にアクセスでき、ツイートの投稿やリツイート、いいね、ブロックなどの操作が可能になると説明した。

記事執筆時点では、Twitter側からの公式声明はまだ発表されていない。Foresight Newsでは、この脆弱性の攻撃ロジックと一般ユーザー向けのセキュリティ知識および予防策について簡単に分析する。
脆弱性の攻撃ロジック
今回報告されたTwitterの脆弱性はXSS攻撃に該当し、いわゆるコードインジェクション攻撃である。攻撃者は悪意のあるコードを含むウェブサイトのリンクを事前に用意し、ユーザーがそれをクリックすると、そのページ上で悪意のあるコードが実行される。
例えば提示された例では、悪意のあるコードがbase64エンコードされた後に実行され、実際に実行されるのは alert('XSS PoC here') というコードである。
ユーザーがこの悪意のあるリンクにアクセスすると、ページ上でこのコードが実行され、以下の文字列を含むポップアップが表示される:

ユーザーはどうやって防御すべきか?
このような悪意のあるコードはURL内に埋め込まれる必要があるため、悪質なリンクは非常に長くなる傾向がある。
そのため、ツイッターで極端に長いリンクを見かけた場合は絶対にクリックしないこと。どうしても内容を確認したい場合は、リンクをコピーしてブラウザのシークレットモードで開くようにすること。
とにかく、ログイン中のTwitterアカウントを使用しているブラウザ上で、出所不明の長いリンクをクリックしてはいけない。

万が一被害に遭ってしまった場合でも、すぐにTwitterのパスワードを変更すれば問題ない。この種の攻撃で最も価値があるのはユーザーのTwitter auth_tokenの盗用だが、パスワードの変更により以前のauth_tokenは無効化される。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News










