Twitterの挙動がおかしい件
21日18時前後からTwitterの挙動がおかしい問題が発生しているた模様。
【現在は終息しています!】
状況から言うと、
・自分の身に覚えのないポスト(発言)が勝手にされている。
・「http://t.co/@"style="」から始まるURLがポストされている
・自分のアカウントからスクリプト(onmouseoverを含むスタイルシート)が発信されている
・Web(Twitter公式サイト)からログアウトできない
・Rainbow Twtrなるアカウントにフォローされるとアカウントを乗っ取られる
等々。
対応策(予防策)としては、
・Web(ブラウザ)+公式ページ(twitter.com)からTwitterを利用しない。公式ページに既にアクセスしている場合は、即刻ログアウトする。
・公式からログアウトした上で、公式以外の外部サイト(ついっぷるなど)や、Flashの影響を受けない非公式クライアント(例えばiPhone/iPadのTwitRockerなど)からアクセスする。
・カラフルな文字列(既に乗っ取られているアカウント)をクリックする、マウスを上にかぶせるだけで、自分も乗っ取られる可能性がある。
・「http://t.co/@"style="〜」から始まるURLが入った文面は絶対にRTしない。誤ってRTした場合、自分の発言から即刻削除する。*1
もし公式にアクセスしていて、自分のアカウントが乗っ取られている(心当たりのない投稿を確認するなど)場合は、事後策として、
・ブラウザのアドレス欄(URLが表示されているところ)に、「http://twitter.com/logout 」と直接入力してログアウト
・その後、ブラウザの常駐を解除してブラウザそのものを終了した後、ブラウザのキャッシュとcookieをクリア*2し、PCを再起動すると、復帰できる……という情報がある。
とりあえず、今日の所はログアウトして早寝する、のがよかろうかと思う。
その前に、公式以外のTwitterクライアントから、自分の及び自分が管理している業務上のアカウントなどに、不審な新規フォロワーがいないかどうか確認する必要がある。現時点でSPAM botとして判明しているのはRainbow Twtrのみだが、今後それ以外にも英文/日本語で便乗SPAM botが出てくる可能性がある。スクリプトを吐いているフォロワーがいた場合、念のため何らかの対処を。*3
現在TLを流れている情報のうち、有益そうなものをかいつまんで。
海外サイトでも問題になり始めている、という話も出ているが、http://twitter.com/twitter の公式アカウント(英文)は「ENJOY!」とかのんきなことを言ってるので、問題に気付いていないか、アナウンスができないが検討中かどっちかではないかと思われる。
追伸。
公式にXSS対策パッチが当てられた模様。
http://status.twitter.com/post/1161435117/xss-attack-identified-and-patched
これをもって終息宣言とみて良さそうです。
パッチが全サーバに反映されるまで暫く掛かるでしょうので、とりあえず今日はもう寝ろ、ということで。
追伸2。
TwitterにXSS攻撃--ソフォス報告 - CNET Japan
http://japan.cnet.com/news/service/story/0,3800104747,20420358,00.htm