08/08/04 17:30:45 0
★「予告.in」に不正コード埋め込み 閲覧すると2chに犯行予告投稿
・犯行予告収集サイト「予告.in」に8月3日、不正なコードが埋め込まれ、アクセスと同時に
「警視庁爆破する」という犯行予告文を「2ちゃんねる」に強制的に投稿させる問題が起きた。
約1時間半後に修正されたが、運営者の矢野さとるさんは「利用者に迷惑をかけて申し訳ない」と
謝罪している。
問題が発生したのは、3日の午前2時18分から3時55分。
PCで予告inにアクセスすると、2ちゃんねるのVIP板にタイトル「警視庁爆破する」、本文「嘘です」
名前欄にアクセス元リモートホストを書いたスレッドを、強制的に投稿させる状態になっていた。
クロスサイトスクリプティング(XSS)の脆弱性をつき、予告投稿欄に不正なコードが埋め込まれて
いたことが原因。投稿欄のURL部分にエスケープ処理(不正な文字列を無効化する処理)を行って
いなかったため、悪意あるコードを投稿欄のURL部分に埋め込んだ場合、コードを実行させる
危険性があったという。
矢野さんはユーザーからの連絡で状況を確認。不正コードを排除し、不正コードを送信・表示
できないような対策を講じた。犯行予告を投稿後、すぐに反映する形式から、いったん内容を
確認してから反映させる方式に一時的に変更した。
警視庁には、これらの投稿が不正なコードによって行われ、投稿者本人の意志ではないことを
連絡。必要があれば被害届を出したいという意思を伝えた。警視庁は事実関係を把握し、調査を
行っているという。
矢野さんは「利用者の皆様にご迷惑をおかけして大変申し訳ございませんでした」と謝罪。
プログラムの整備やセキュリティー対策強化を行っていくとしている。
URLリンク(headlines.yahoo.co.jp)
※画像:URLリンク(image.itmedia.co.jp)
※前:スレリンク(newsplus板)