Twitterが米国時間2月12日、ソーシャルエンジニアリングの性質や人の好奇心につけこむことで急速に広がったクリックジャッキング攻撃を封じた。
Twitter上に「Don't Click(クリックしないで)」というメッセージとリンクが現れ、ユーザーのクリックを誘った。ユーザーがこれをクリックすると、ユーザー自身のアカウントから「Don't Click」という新たなメッセージとリンクが送信される仕組みになっていた。
Twitterのオペレーションズエンジニアを務めるJohn Adams氏(Twitterでのユーザー名はnetik)は太平洋標準時刻午前11時に「『don't click』という言葉を使ったクリックジャッキング攻撃を10分前に封じた。問題はなくなったはずだ」と、Twitterに投稿している。
Sunlight Labsブログの投稿によると、クリックジャッキングは増殖だけを目的に作られており、害はないという。
Sunlight Labsの投稿には次のように書かれている。このコードは「ページのiframeを作成し、隠匿する。ボタンをクリックしたユーザーはTwitterにログインしてしまい、(本人には見えなくても)あのメッセージを送信してしまう。攻撃にJavaScriptは介在しない。ページ上で唯一のJavaScriptは、Google Analyticsのコードだ」(CNET Japan)
関連記事 グルコース、Twitter中毒者向けiPhoneアプリ「Fastweet」を提供 - 2009/02/12 11:45:01 Twitter、偽ダライ・ラマのアカウントを一時閉鎖 - 2009/02/10 17:58:01