Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

犯行予告情報サイト「予告.in」に不正コード - 「閲覧で犯行予告投稿の可能性」

インターネット上に書き込まれた犯行予告の情報を収集、通報しているウェブサイト「予告.in」に不正なコードが埋め込まれる被害が発生した。

同サイトにクロスサイトスクリプティングの脆弱性があったことから、投稿欄から不正なコードが埋め込まれたもの。すでに不正なコードは削除されているが、コードが埋め込まれていた8月3日2時18分から3時55分までに同サイトを閲覧した場合、被害を受けた可能性がある。

IE系のブラウザで不正なコードが埋め込まれたページを閲覧した場合、ユーザーのドメイン情報を投稿者として、掲示板「2ちゃんねる」へ警視庁の爆破予告に関する投稿が行われるおそれがあった。また動画やメーラーを大量に立ち上げることでブラウザを強制終了させるケースも確認されている。

すでに不正なコードは、同サイトを運営する矢野さとる氏により削除されており、脆弱性も解消されている。また同氏が確認したところ、ウイルスを感染させるようなスクリプトはなく、携帯版についても影響なかったという。

同氏は今回の被害を受け、警視庁に対して不正なコードによりユーザーの意志に反した投稿が行われた事態を報告。また不正なコードを埋め込んだIPアドレスについて情報を提供し、今後も捜査に協力していくという。犯行予告の投稿についても、内容を確認してから掲載するなど掲載方法を一時的に変更した。

予告.in
http://yokoku.in/

(Security NEXT - 2008/08/04 ) このエントリーをはてなブックマークに追加

PR

関連記事

白泉社でサイト改ざん、悪意ある外部サイトへ誘導
カステラ通販サイトに不正アクセス - クレカ情報流出の可能性
複数の釣り具通販サイトに不正アクセス - クレカ情報流出か
アパレル資材B2Bサイトでクレカ情報流出か - アップロード機能の脆弱性突かれる
健康食品通販サイトでクレカ情報流出か - 個人情報格納サーバにも不正アクセスの痕跡
医療関連用品の通販サイトに不正アクセス - クレカ情報流出の可能性
酒店オンラインショップに不正アクセス - クレカ情報流出の可能性
寝具通販サイトでクレカ情報約1.9万件が流出か - 9割超は決済不成立のクレカ情報
ハムなど扱う食品サイトに不正アクセス - クレカ情報が流出
フィッシング被害者などで不正取引が発生 - レイクALSA