犯行予告情報サイト「予告.in」に不正コード - 「閲覧で犯行予告投稿の可能性」

インターネット上に書き込まれた犯行予告の情報を収集、通報しているウェブサイト「予告.in」に不正なコードが埋め込まれる被害が発生した。

同サイトにクロスサイトスクリプティングの脆弱性があったことから、投稿欄から不正なコードが埋め込まれたもの。すでに不正なコードは削除されているが、コードが埋め込まれていた8月3日2時18分から3時55分までに同サイトを閲覧した場合、被害を受けた可能性がある。

IE系のブラウザで不正なコードが埋め込まれたページを閲覧した場合、ユーザーのドメイン情報を投稿者として、掲示板「2ちゃんねる」へ警視庁の爆破予告に関する投稿が行われるおそれがあった。また動画やメーラーを大量に立ち上げることでブラウザを強制終了させるケースも確認されている。

すでに不正なコードは、同サイトを運営する矢野さとる氏により削除されており、脆弱性も解消されている。また同氏が確認したところ、ウイルスを感染させるようなスクリプトはなく、携帯版についても影響なかったという。

同氏は今回の被害を受け、警視庁に対して不正なコードによりユーザーの意志に反した投稿が行われた事態を報告。また不正なコードを埋め込んだIPアドレスについて情報を提供し、今後も捜査に協力していくという。犯行予告の投稿についても、内容を確認してから掲載するなど掲載方法を一時的に変更した。

予告.in
http://yokoku.in/

（Security NEXT - 2008/08/04 ） ツイート

PR

関連記事

草津市指定管理者の運営2サイトが改ざん被害 - 偽警告を表示
中国複数グループが「ToolShell」攻撃を展開 - 攻撃拡大に懸念
サイバー攻撃で一部顧客情報が流出したおそれ - 古野電気
自治体向け電子申請システムにPWリスト攻撃 - 約400人に影響か
「愛知全県模試」受験者情報が流出した可能性 - SQLi攻撃で
財布通販サイトに不正アクセス - 個人情報流出の可能性
会員管理システムから個人情報が流出した可能性 - 日本発生生物学会
ネックストラップ通販サイトに不正アクセス - 個人情報流出の可能性
獣医学本販売サイトに不正アクセス - 個人情報流出の可能性
スポーツ用品通販サイトに不正アクセス - 個人情報流出の可能性