PR

 米Twitterの公式クライアントアプリケーション「TweetDeck」は現地時間2014年6月11日、セキュリティのバグ修正を完了し、全ユーザーに対するサービスが復旧したと、公式アカウントを通じて発表した。複数の米メディア(Wall Street JournalWIREDなど)の報道によると、TweetDeckは同日朝から、クロスサイトスクリプティング(XSS)攻撃を受けていた。

 6月11日の朝、ユーザーがTweetDeckにログインすると、ランダムなポップアップメッセージが表示される現象が発生した。メッセージは「Yo!」「HACKED」、あるいは往年のヒット曲の歌詞「NEVER GOING TO GIVE YOU UP, NEVER GOING TO LET YOU DOWN」などさまざまだった。また、ユーザーの知らないうちに、ランダムなコードを含むメッセージがリツイートされた。

 TweetDeckはすぐに対応し「TweetDeckに影響を与えていた問題を修正した」として、修正を適用するために一度TweetDeckをログアウトして、再ログインするようユーザーにアドバイスした。しかし現象は収まらず、約30分後にTweetDeckは「調査のためにいったんTweetDeckを停止する」とツイート。その約1時間後に完全復旧を宣言した。

 TweetDeckは、2011年5月にTwitterが買収した(関連記事:Twitter、人気クライアントの「TweetDeck」を買収)。複数のフィードを1つの画面で確認できるため、Twitterパワーユーザーの間で人気が高い。

 今回の攻撃は、19歳のオーストリア人青年が原因だと伝えられている。この青年はHTMLで「♥(ハートマーク)」を表示する実験を行う中で偶然、当脆弱性を発見し、それをTwitterに報告した。しかしTwitterが脆弱性を修正する前に、自身の発見をオンラインで公表しため、別の何者かが悪用してしまったという(USATODAYの報道)。