犯行予告情報サイト「予告.in」に不正コード - 「閲覧で犯行予告投稿の可能性」

インターネット上に書き込まれた犯行予告の情報を収集、通報しているウェブサイト「予告.in」に不正なコードが埋め込まれる被害が発生した。

同サイトにクロスサイトスクリプティングの脆弱性があったことから、投稿欄から不正なコードが埋め込まれたもの。すでに不正なコードは削除されているが、コードが埋め込まれていた8月3日2時18分から3時55分までに同サイトを閲覧した場合、被害を受けた可能性がある。

IE系のブラウザで不正なコードが埋め込まれたページを閲覧した場合、ユーザーのドメイン情報を投稿者として、掲示板「2ちゃんねる」へ警視庁の爆破予告に関する投稿が行われるおそれがあった。また動画やメーラーを大量に立ち上げることでブラウザを強制終了させるケースも確認されている。

すでに不正なコードは、同サイトを運営する矢野さとる氏により削除されており、脆弱性も解消されている。また同氏が確認したところ、ウイルスを感染させるようなスクリプトはなく、携帯版についても影響なかったという。

同氏は今回の被害を受け、警視庁に対して不正なコードによりユーザーの意志に反した投稿が行われた事態を報告。また不正なコードを埋め込んだIPアドレスについて情報を提供し、今後も捜査に協力していくという。犯行予告の投稿についても、内容を確認してから掲載するなど掲載方法を一時的に変更した。

（Security NEXT - 2008/08/04 ）ツイート