大手セキュリティ企業のWebサイトはユーザーに信頼されているだけに、マルウェア配布に利用される可能性も高いという。
大手セキュリティ企業のWebサイトにもクロスサイトスクリプティング(XSS)の脆弱性が存在するとして、XSS攻撃情報提供サイトの米XSSed.comが調査結果を公表した。セキュリティ企業のWebサイトはユーザーに信頼されているだけに、「マルウェアやクライムウェア配布に利用される可能性も高い」と警鐘を鳴らしている。
XSSedプロジェクトではVerisignとMcAfee、Symantecのセキュリティ大手3社のサイトでXSSの脆弱性の実態を調べ、結果をサイトで報告した。
それによると、Verisign.comには5件のXSS問題が見つかり、6月11日までにすべて修正された。しかし、多数の大手企業のWebサイトに安全性を保証する「Verisign Secured」の認定マークを交付しながら、自らのWebサイトがセキュアでなかったことについてXSSedは疑問を投げ掛けている。
McAfee.comには8件のXSS問題が見つかり、このうち7件が修正された。「McAfeeは“Hacker Safe”サービスの顧客にどう説明するのか」とXSSed。
Symantec.comについては17件のXSS問題が列挙され、このうち10件が修正されたという。「攻撃者はSymantecのXSSの脆弱性を利用してマルウェアを配布し、個人情報を盗むことが可能」だとXSSedでは指摘している。
Copyright © ITmedia, Inc. All Rights Reserved.