Yaks

(2009/04/12 6：40 pm 追記しました)
(2009/04/12 7：24 pm 再度追記しました)

先ほどから Twitter上にて XSS のよる被害が出ています。

既に海外のブログなどでも取り上げられています。

HOWTO: Remove StalkDaily.com Auto-Tweets From Your Infected Twitter Profile (Twittercsm)
Warning: Twitter Hit By StalkDaily Worm (TechCrunch)

既に XSS の部分は改修されて大分収まったようですが、念のために書いておきます。

内容としては、

1. StalkDaily.com を宣伝するつぶやきが勝手に投稿される
2. プロフィールの Web が改ざんされる
3. 改ざんされたユーザーのページを見ると、自分のプロフィールも改ざんされる

などとといった被害を受けます。

具体的にはプロフィールの Web 欄に外部 JavaScript が埋め込まれ、その中で StalkDaily.com というサイトを宣伝するかのような投稿の自動ポスト、外部サーバーへの Cookie データの送信、さらにはユーザーページを見に来た人のプロフィールを同様に改ざんするコードが書かれていました。ですので、既にこの不正なスクリプトによる被害を受けていた人のページを見に行くだけで、自分のプロフィールも改ざんされ、被害者が広がっている状態になっていました。また、おそらくですが奪取した Cookie のセッション情報を用いても、宣伝ポストを行っている模様です。

と、技術的な話しはさておき、具体的にどうすればよいかは

1. プロフィールの確認

「設定」の「アカウント情報」を開き、「Web」のURLが変更されていないか確認。StalkDaily.comなんちゃらに変わっていたら、これを削除、元の値に戻します。

2. パスワードの変更・再ログイン

パスワードの変更を行った後、一旦ログアウト、再度ログインします。(可能であれば Cookie の削除を行った方が安全です。)

以上の点を確認、操作を行うことでひとまずは大丈夫だと思われます。

なお、パスワードを変更後に不正スクリプトによる自動投稿や、古いパスワードのままで動作していたクライアントソフトなどによってログインが何度か失敗すると、アカウントが一時的にロックされる模様です。しばらくされるとロックは解除されるようなので、クライアントソフトをログアウトし(動作している場合)、しばらく時間をいてから再度ログインを試してみてください。

であ、また。

2009/04/12 6：40 pm 追記

先ほどから再度 Mikeyy. Woooo! などと勝手にポストされる症状が急速に広がり始めました。原因がまだ定かではないですが、上記のようなポストをしている人を見たら、その人のページは開かない方がよいでしょう。 また StalkDaily.com にも訪れないようにしてください。

万が一、上記の被害にあった場合は、上で上げているようにプロフィールの確認、修正と、パスワードの変更、Cookie の削除を行ってください。

ちなみに、StalkDaily.com の作者は 17歳の若者だったというニュースが上がっています。

17-year-old claims responsibility for Twitter worm (BNOnews)

(作者自ら、メールで投稿したようです。 )

2009/04/12 7：24 pm

今度の XSS は CSS(デザイン)という情報を見つけました。

RT If you got Mikeyy, change your "Links" design color as well. Great job @macaddict75 and @Fanny57 (via @0boy)

(Twitter/ embee)

というわけで、今度は設定 - デザイン の配色(背景画像)を一旦設定しなおしてから、パスワードを変更、再ログインをしてみるとよいかと思われます。

まだ公式発表がないので(土曜の深夜ですしね・・・)正確な情報ではないかもしれませんが、ひとまず応急処置的に試してみてください。

繰り返しになりますが、感染している人のページは決して開かないようにしてください。(さらに攻撃手段を変えてくる可能性もあります。)

どうしても Web で見たい方は、一旦ログアウトするか、Twitterにログインしていないブラウザーで開くようにしてみてください。(おそらく、APIを使ったクライアントソフトも現時点では安全だと思われます。)

なんかここのところ、電子楽器をいじるのが若干マイブームなっていたりします。

元々音楽は全然やったことはないものの、音を出したり、作曲の真似事をしたりするのは好きだったのですが、その延長 + 昨今の YMO のエレクトロニカ傾向の影響もあってか、電子バグパイプを買ってみたりしました。

とりあえず音を出してみた動画がこちら。

で、とりあえずピロピロ音を出していたりしていました。

そこへこんなニュース。

ビョークも愛用のテーブルトップ電子楽器 reactable、製品化へ (engadget)

たしか、1、2年前にブログ辺りに出ていた見て、楽しそうだなぁと思っていた楽器がついに販売されることに。でも見た感じわりと大掛かりそうで、値段もそれなりにお高いものだろうなぁと思っていたら、ふと、以前に似たような楽器を購入していたことを思い出しました。

その名も ZOUNDZ。 発売当初はブログでも取り上げられたり、テレビ CM なども放映され、それなりに注目されていたと思います。

それを見た僕はといえば、上の reactable のが気になっていたことに加えて、CM のデモで流れてきた予想外のアンビエントなサウンドに心打たれて、発売開始と同時に各地の家電量販店やらトイザらスを廻って見つけ次第即購入した記憶があります。

当時は割りとすぐ飽きてしまったのですが、今回の上の記事を見て思い出し改めて遊んでみました。それがこの動画。

久々に改めて遊んでみると、なかなか面白い。
特に知識がなくてもそれっぽい演奏ができ、サウンドも割りと本格的(安っぽくない)なので、大人でも楽しめると思います。

残念ながら今は販売されなくなってしまっているようですが、こういう手軽に音楽に触れられるおもちゃがもっとあってもいいんじゃないかなと思います。って日本だともっと色々あるのかな・・・

この辺りですかね。

あとこれに加えて、こんなの と こんなの(上にアフェリエイトもありますね)を買ってしまったりしました。うまく弾けるかどうかは抜きにして、とりあえず色々音を出して遊んでみたいと思ってます。

あー、ほんと子供の頃にピアノとか習っておけばよかった・・・

であ、また。