速報
» 2007年09月19日 08時41分 UPDATE

Second Lifeにパスワード流出の脆弱性 アバター乗っ取りの恐れも

ユーザーが不正なWebページを訪れるとログイン情報が盗まれ、自分のアバターを乗っ取られてしまう恐れもある。

[ITmedia]

 3D仮想空間「Second Life」に、ユーザーのパスワードなどを盗むことができてしまう脆弱性が見つかった。セキュリティ各社のリスク評価はそれほど高くないが、ログイン情報が盗まれれば、Second Lifeのアバターを乗っ取られてしまう恐れもある。

 仏FrSIRTのアドバイザリーによると、この脆弱性は、アプリケーションをインストールする過程で登録される「secondlife://」URIハンドラの設計ミスに起因する。攻撃者が不正なiframeを仕掛けたWebページをユーザーに閲覧させることにより、ユーザーネームとパスワードを盗み出すことが可能になる。

画像 GNUCITIZENはユーザー情報を盗む手順を公開した

 問題を発見したハッカー組織「GNUCITIZEN」は、不正なWebページを使ってログイン情報を盗み出す手順をサイト上で公開。問題の悪用にはInternet Explorer(IE)6と7が利用できるとしている。

 FrSIRTのリスク評価は4段階で下から2番目に低い「Moderate Risk」。しかしGNUCITIZENでは、Second Lifeの通貨「リンデンドル」が現金に換金できることから、被害者が多額のリンデンドルを持っている場合、極めて深刻な状況に陥ると指摘している。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -