Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

犯行予告情報サイト「予告.in」に不正コード - 「閲覧で犯行予告投稿の可能性」

インターネット上に書き込まれた犯行予告の情報を収集、通報しているウェブサイト「予告.in」に不正なコードが埋め込まれる被害が発生した。

同サイトにクロスサイトスクリプティングの脆弱性があったことから、投稿欄から不正なコードが埋め込まれたもの。すでに不正なコードは削除されているが、コードが埋め込まれていた8月3日2時18分から3時55分までに同サイトを閲覧した場合、被害を受けた可能性がある。

IE系のブラウザで不正なコードが埋め込まれたページを閲覧した場合、ユーザーのドメイン情報を投稿者として、掲示板「2ちゃんねる」へ警視庁の爆破予告に関する投稿が行われるおそれがあった。また動画やメーラーを大量に立ち上げることでブラウザを強制終了させるケースも確認されている。

すでに不正なコードは、同サイトを運営する矢野さとる氏により削除されており、脆弱性も解消されている。また同氏が確認したところ、ウイルスを感染させるようなスクリプトはなく、携帯版についても影響なかったという。

同氏は今回の被害を受け、警視庁に対して不正なコードによりユーザーの意志に反した投稿が行われた事態を報告。また不正なコードを埋め込んだIPアドレスについて情報を提供し、今後も捜査に協力していくという。犯行予告の投稿についても、内容を確認してから掲載するなど掲載方法を一時的に変更した。

予告.in
http://yokoku.in/

(Security NEXT - 2008/08/04 ) このエントリーをはてなブックマークに追加

PR

関連記事

脆弱なウェブサーバ狙う「Mirai」らしきアクセス急増 - 国内でも感染拡大か
セキュアブレイン、ウェブアプリのソースコード診断を開始
旧サーバ内の個人情報最大9.2万人分が流出の可能性 - 森永乳業の通販サイト
1週間に2400件超のサイト改ざん - 詐欺サイト誘導の踏み台に
森永乳業の通販サイトに不正アクセス - クレカ情報流出の可能性
「Drupal」脆弱性、国内で1日あたり数万件規模のアクセス - 70カ国以上から
脆弱性「Drupalgeddon 2.0」、実証コード公開で攻撃段階に
国内でも「Drupalgeddon 2.0」を観測 - 「Drupal」利用者はアップデート状況の確認を
ウェブサイト向けセキュリティ診断サービスのラインナップを強化 - EGセキュア
Cisco製スイッチ設定ツールに攻撃受けるおそれ - 国レベルの攻撃で悪用、複数国で被害