[お知らせ] デジマガをAndroidスマホで見るとアプリ『Mobogenie_1501.apk』が無断でダウンロードされていた件について
デジタルマガジン

 

こんにちはこんにちは!! アメーバなう、早速はまちちゃんに脆弱性を突かれる

記事公開日:2009/12/11 11:00 | 最終更新日:2009/12/11 11:57

こんにちはこんにちは!! アメーバなう、早速はまちちゃんに脆弱性を突かれる

 先日リリースされたサイバーエージェントのTwitterパクりサービス『アメーバなう』が、Hatenaの超有名人、はまちちゃん(はまちや2)に早速CSRF(クロスサイトリクエストフォージェリ)攻撃をくらっていた

 はまちちゃんとは、4年ほど前にmixiで起きた「はまちちゃん事件」の首謀者で、URLをクリックするとmixiの日記に“ぼくはまちちゃん!”と勝手に投稿してしまうスクリプトを作った人物である。

 日記には「こんにちはこんにちは!!」という本文のあとにそのURLが記載されており、「マイミクが変な日記を書いてるなあ」とそのURLをクリックしてしまうと、自分も“ぼくはまちちゃん! こんにちはこんにちは!!”と、同じ文面の日記を投稿してしまうという恐ろしいスクリプトなのだ。なお、実害はない。

 このCSRF攻撃は、サービス側がサイト外からのリクエストを拒否する設定をしていない場合に受けてしまうもので、かのTwitterもはまちちゃんから同じような攻撃を受けている。そして今回、アメーバなうも受けてしまったというわけだ。4年前に確認されていた脆弱性の対処をしていなかったために……。

 今回の攻撃は、問題の短縮URLをクリックしてしまうと、アメーバなうに「こんにちはこんにちは!!」とつぶやいたうえ、アメーバなうのはまちちゃんのアカウントをフォローしてしまうというものである。もちろんつぶやきの最後にはURLが記載されており、「知人が変なつぶやきをしてるなあ」とクリックしてしまうと、あとはご想像の通りである。なお、当たり前だがこれらも実害はない。

 この攻撃に対して、アメーバなうスタッフは「「こんにちは こんにちは!!」の後のURLをクリックしないよう注意していただくと共に、発言をしてしまったら削除していただけますよう、よろしくお願いいたします。」と注意を促している。