Twitterに「なりすまし投稿」を許すSMS脆弱性

　Jonathan Rudenberg氏は米国時間12月3日、同氏が発見したTwitterに内在するSMS脆弱性について自身のブログに投稿した。この脆弱性は、誰かの携帯電話の番号を知っていると、その人のアカウントでツイートすることが可能になるというものだ。

　この脆弱性を悪用するには、対象者がアカウント設定でSMSによるツイートを有効にしている必要がある。そこから先は、実行者は相手の実際の携帯電話番号を偽装してSMSゲートウェイを通り抜け（Rudenberg氏によると、非常に容易に実行可能だという）、メッセージを投稿するだけでいい。また、Twitterではプロフィールの設定をSMS経由で変更できるため、この情報も改ざんされる可能性がある。

　Rudenberg氏によると、Twitterの問題は、送信元アドレスからのツイートを「疑わずに」自動的に受け入れることだという。加えて、一部の国では、Twitterはショートコードに対応していない。ショートコードは、メッセージが通信事業者のネットワークを1つだけを通って送信されるようにするもので、2つの通信サービス間では送信されない。

　Rudenberg氏によると、FacebookもまたSMSの脆弱性にさらされていたという。同氏は、TwitterとFacebookの両社に8月に連絡し、11月第5週にFacebookから問題を解決したとの確認を受け取った。Twitterは当初、問題を解決できるまでこの脆弱性を公表しないようRudenberg氏に要請したが、今のところ対策はなされていない。

　ただし、偽装を防ぐ方法はある。Rudenberg氏が指摘するように、Twitterのユーザーは、SMS経由でツイートを送信する前に、暗証番号の入力を求めるよう設定できる。偽装投稿しようとする人物が暗証番号を知らなければ、対象ユーザーは安全だ。ただし、Rudenberg氏によると、米国では暗証番号に未対応だという。