ITmedia NEWS > ネットの話題 >
セキュリティ・ホットトピックス

「予告.in」に不正コード埋め込み 閲覧すると2chに犯行予告投稿

» 2008年08月04日 07時23分 公開
[ITmedia]

 犯行予告収集サイト「予告.in」に8月3日、不正なコードが埋め込まれ、アクセスと同時に「警視庁爆破する」という犯行予告文を「2ちゃんねる」に強制的に投稿させる問題が起きた。約1時間半後に修正されたが、運営者の矢野さとるさんは「利用者に迷惑をかけて申し訳ない」と謝罪している。

画像 投稿されたスレッドの例

 問題が発生したのは、3日の午前2時18分から3時55分。PCで予告inにアクセスすると、2ちゃんねるのVIP板に、タイトル「警視庁爆破する」、本文「嘘です」、名前欄にアクセス元リモートホストを書いたスレッドを、強制的に投稿させる状態になっていた。

 クロスサイトスクリプティング(XSS)の脆弱性をつき、予告投稿欄に不正なコードが埋め込まれていたことが原因。投稿欄のURL部分にエスケープ処理(不正な文字列を無効化する処理)を行っていなかったため、悪意あるコードを投稿欄のURL部分に埋め込んだ場合、コードを実行させる危険性があったという。


画像 投稿欄

 矢野さんはユーザーからの連絡で状況を確認。不正コードを排除し、不正コードを送信・表示できないような対策を講じた。犯行予告を投稿後、すぐに反映する形式から、いったん内容を確認してから反映させる方式に一時的に変更した。

 警視庁には、これらの投稿が不正なコードによって行われ、投稿者本人の意志ではないことを連絡。必要があれば被害届を出したいという意思を伝えた。警視庁は事実関係を把握し、調査を行っているという。

 矢野さんは「利用者の皆様にご迷惑をおかけして大変申し訳ございませんでした」と謝罪。プログラムの整備やセキュリティー対策強化を行っていくとしている。

Copyright © ITmedia, Inc. All Rights Reserved.