PR

Symantec Security Response Weblog
@BlogAudience: MoTB Follows Limited Disclosure Approach to Twitter Vulnerabilities」より
July 3,2009 Posted by Shunichi Imano

 セキュリティ研究者のAviv Raff氏は2009年7月1日,以前から約束していた通り「Month of Twitter Bugs(MoTB)」(Twitterバグ月間)プロジェクトのWebサイトを正式に開設した。同氏はMoTBサイトで「Twitterに関するバグを毎日1件ずつ」公開し,Twitter用APIの知名度向上を図ると同時に,Twitterのソフトウエアとシステムを使うことで起こりうる問題をエンドユーザーに警告する(関連記事:ゼロデイの脅威を考える(パート4) 最近の出来事と,今後の状況)。

 MoTBは,セキュリティ情報を限定的に開示していく。この開示方法は,Twitterにメリットをもたらす。Twitterとサードパーティ・サービス・プロバイダは危険なセキュリティ・ホールの情報を開示の24時間以上前に通知されるので,MoTBで公表されるまでに修正パッチを作るための時間的余裕を確保できる。またセキュリティ・ホール情報が通知されると締め切りが設けられるため,関係プロバイダに対応を促し,結果的にエンドユーザーを保護できる。しかし,仮にこのプロバイダが時間内に解決策を提供できない,もしくは提供しないと,セキュリティ・ホールの情報がMoTBで公開されてしまい,悪人は素早くTwitterの「よろい」にある小さなすき間に剣を突き立てるだろう。

 修正パッチの品質も重要である。間違いは必ず起こる(そう,我々は人間なのだ)。プレッシャの高い状況だとなおさらだ。セキュリティ修正パッチの担当者が突然高いプレッシャにさらされたら,どんな影響を受けるだろうか。修正パッチのリリースに追われると,テストと品質保証に割ける作業時間が減るだろう。それに故意ではないはずだが,プレッシャのかかった状態で書かれたコードには問題があるものだ。

 今のところMoTBの情報限定開示プロセスは計画通り機能しているらしい。最初に公開された一連のセキュリティ・ホール情報はURL短縮サービス「bit.ly」に関する4件で,いずれもクロスサイト・スクリプティング(XSS)に関係しており,既に修正済みだ。そして,サードパーティのTwitter用アカウント管理アプリケーション「HootSuite」で見つかった別のXSS関連セキュリティ・ホールは,報告からわずか2時間で修正が済んだ。

 米シマンテックのセキュリティ・レスポンスでは,MoTBに掲載される情報を注意深く追跡していく。Twitter用アカウントを取得して情報を発信する可能性もある。

注:当ブログ記事の共同執筆者で同僚のHenry Bell氏に感謝する。


Copyrights (C) 2009 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「@BlogAudience: MoTB Follows Limited Disclosure Approach to Twitter Vulnerabilities」でお読みいただけます。